Realtek RTL819xD: Schwachstelle in SoCs wird aktiv genutzt

Eine Sicherheitslücke in Netzwerkchips von Realtek wird nach Ansicht von Experten bereits großflächig missbraucht, um mittels einer Mirai-Schadcode-Variante Botnetze zu erstellen. Betroffen sind mindestens 65 Hersteller. Trotz Patch gestaltet sich das Schließen der Lücke schwierig.

So sollen über die bereits am 16. August durch SAM Seamless Network veröffentlichte Schwachstelle nicht authentifizierte Angreifer das Zielgerät vollständig kompromittieren und beliebigen Code mit der höchsten Berechtigungsstufe auszuführen können. Dafür wird ein von IoT Inspector gefundener Buffer-Overflow-Fehler ausgenutzt. Laut den Forschern sollen dabei vornehmlich IoT-Geräte befallen sein, um diese zu Botnetze zu verbinden und umfangreiche Distributed-Denial-of-Service-Angriffe (DDoS) zu starten. Dafür wird auf eine Variante der bereits vor 5 Jahren gefundenen Schad-Software Mirai genutzt. Die mit der ID CVE-2021-35395 versehene Schwachstelle scheint nach Angaben der Experten jedoch nur eine unter mehreren Lücken zu sein, welche in verschiedenen Realtek-Wireless-SoCs z finden sind und deren Ursprung im Software Development Kits (SDKs) des Chip-Herstellers zu finden ist.

Absturz oder Übernahme

Die Schwachstelle betrifft im Wesentlichen eine HTTP-Webserver-Komponente der SDKs, die mit „Boa“ und „webs“ zwei webbasiertes Management-Interfaces zur Verfügung stellt. Durch Übermittlung von speziell präparierten Parameter können Angreifer Pufferüberläufe an den Servern hervorrufen. Während die Forscher davon ausgehen, dass durch die Angriffe entsprechende Geräte von den Eindringlingen komplett übernommen werden können, geht Realtek davon aus, dass durch den Angriff lediglich die Server zum Absturz gebracht werden können. Es besteht auch die Möglichkeit, dass das Verhalten von Gerät zu Gerät unterschiedlich ausfällt.

Großflächig Hersteller und Geräte betroffen

Die Schwachstelle betrifft mehr als 65 Hersteller, darunter unter anderem Geräte von AsusTEK, D-Link, Logitec, Netgear und Zyxel, sowie eine breite Produktpalette, angefangen von VoIP- und Wireless-Routern über Repeatern, IP-Kameras bis hin zu smarten Beleuchtungssteuerungen – insgesamt mehr als 200 Gerätetypen. Eine Liste der bisher bekannten betroffenen Hersteller ist im Anhang eines Blog-Eintrages von IoT Inspector zu finden.

Patch bereits vorhanden, aber...

Ein Update wurde von Realtek bereits Mitte August bereitgestellt, die Verteilung gestaltet sich jedoch schwierig: So müssen zunächst die Hersteller der jeweiligen Geräte den zur Verfügung gestellten Patch durch neue Firmware-Versionen in ihre Geräte implementieren und das Update verteilen. Als letztes Glied in der Kette müssen die Nutzer auch von der Schwachstelle und der Dringlichkeit des Updates Wissen erhalten und dieses auch einspielen. Es darf bezweifelt werden, dass dies zur Gänze geschieht.

Betroffenen Besitzern wird geraten, das Update schnellstmöglich einzuspielen und entsprechende Geräte bis dahin entweder zusätzlich vor Angriffen aus dem Netz zu schützen oder diese zur Not komplett offline zu nehmen.