中国台湾芯片设计商Realtek的WiFi SDK漏洞影响数百万IOT设备

安全
中国台湾芯片厂商Realtek 发布安全公告称在其软件开发套件和WiFi模块中发现了4个安全漏洞,影响超过65个厂商的200款IoT设备。

中国台湾芯片厂商Realtek 发布安全公告称在其软件开发套件和WiFi模块中发现了4个安全漏洞,影响超过65个厂商的200款IoT设备。

这4个漏洞分别是:

  • CVE-2021-35392:由于SSDP NOTIFY消息的不安全构造引发的WiFi Simple Config 服务器中的堆缓存溢出漏洞,CVSS评分8.1分。
  • CVE-2021-35393:由于对UPnP SUBSCRIBE/UNSUBSCRIBE Callback header的不安全处理引发的WiFi Simple Config 服务器的堆缓存溢出漏洞,CVSS评分8.1分。
  • CVE-2021-35394:'UDPServer' MP工具中的多缓存溢出漏洞和任意命令注入漏洞,CVSS评分9.8分。
  • CVE-2021-35395:由于部分过长参数的不安全复制引发的HTTP web服务器boa中的缓存溢出漏洞,CVSS评分9.8分。

攻击者利用这些漏洞可以完全黑掉目标设备并以最高权限执行任意代码。

漏洞影响Realtek SDK的以下版本:

  • Realtek SDK v2.x;
  • Realtek "Jungle" SDK v3.0/v3.1/v3.2/v3.4.x/v3.4T/v3.4T-CT;
  • Realtek "Luna" SDK 1.3.2。

影响的设备主要是实现无线功能的设备,包括网关、路由器、WiFi无线中继器、IP摄像头等。影响的品牌包括AIgital、ASUSTek、Beeline、Belkin、Buffalo、D-Link、Edimax、Huawei、LG、Logitec、MT-Link、Netis、Netgear、Occtel、PATECH、TCL、Sitecom、ZTE、Zyxel以及 Realtek自有路由器。

研究人员通过UPnP响应获得了198个不同的设备指纹,如果假定每个设备平均销售5000台,那么受影响的设备数量约100万。

更多参见Realtek安全公告:https://www.realtek.com/images/safe-report/Realtek_APRouter_SDK_Advisory-CVE-2021-35392_35395.pdf

本文翻译自:https://thehackernews.com/2021/08/multiple-flaws-affecting-realtek-wi-fi.html如若转载,请注明原文地址。

 

责任编辑:姜华 来源: 嘶吼网
相关推荐

2021-09-05 05:59:00

BrakTooth漏洞蓝牙设备

2021-09-17 11:03:25

HP OMEN漏洞攻击

2021-12-10 11:47:47

WiFi漏洞路由器

2022-05-05 14:01:02

DNS高危漏洞uClibc

2021-05-18 07:13:18

WiFi漏洞攻击

2020-12-11 05:51:58

漏洞网络攻击网络安全

2021-12-09 18:59:53

提权漏洞漏洞攻击

2021-04-14 10:53:33

DNS漏洞物联网设备

2021-08-10 08:22:21

漏洞网络安全网络攻击

2022-05-05 11:33:10

漏洞网络攻击网络安全

2021-12-17 11:29:03

WiFi漏洞芯片

2022-01-12 12:33:15

漏洞网络安全网络攻击

2021-05-08 10:07:29

驱动漏洞Dell计算机

2022-01-13 21:34:39

路由器漏洞网络攻击

2021-06-16 14:58:52

漏洞网络安全网络攻击

2018-08-13 20:58:52

2021-11-01 05:50:13

勒索软件漏洞赎金

2021-12-02 15:16:58

数据泄露WiFi信息安全

2022-04-20 12:07:12

漏洞网络攻击网络安全

2010-02-20 17:51:05

点赞
收藏

51CTO技术栈公众号