Jak informuje Ricky Lawshae, badacz laboratorium TippingPoint Digital Vaccine Labs (DVLabs) w firmie Hewlett-Packard, oprogramowanie kontrolujące pracę układów Wi-Fi RTL81xxx firmy Realtek Semiconductor zawiera krytyczną lukę bezpieczeństwa, którą można wykorzystać do przejęcia kontroli nad różnymi urządzeniami, w tym popularnymi domowymi routerami. Luka bezpieczeństwa znajduje się w składniku firmware'u nazwanym miniigd, będącym częścią pakietu SDK w wersji 1.3 udostępnianego przez Realteka dostawcom niewielkich routerów. Proces konsumeryzacji IT sprawia, że podobne urządzenia są często stosowane w niewielkich oddziałach firm. Trudno ocenić liczbę podatnych urządzeń, przeszukiwanie internetowej bazy sprzętu WikiDevi wskazało na ponad 350 różnych modeli routerów, których oprogramowanie firmware zostało napisane przy użyciu dziurawego SDK. Wiadomo, że niektóre z urządzeń firm D-Link, TP-Link, TRENDnet i ZyXEL zawierają tę lukę i nie są to jedyne podatne routery na polskim rynku.

Rick Lawshae mówi: „napastnik może wykorzystać tę podatność do wykonania kodu z uprawnieniami roota, przy czym do wykonania kodu nie jest potrzebne żadne uwierzytelnienie”.

Zobacz również:

• Cyberobrona? Mamy w planach
• Cisco wzmacnia bezpieczeństwo dwóch platform sieciowych

Badacze DVLabs kilkukrotnie informowali Realteka o istnieniu luki jeszcze w 2014r. ale producent nie udzielił dotąd żadnej odpowiedzi, zatem informacja o podatności została opublikowana.

Wyłączyć UPnP, zablokować dostęp na zaporze

Mechanizm ataku zakłada użycie usługi Universal Plug and Play (UPnP), która w domyślnej konfiguracji niektórych urządzeń jest dostępna także z Internetu. Poszukiwanie za pomocą wyszukiwarki SHODAN udowadnia, że około 480 tysięcy urządzeń odpowiada na takie żądanie przez Internet i zwraca w odpowiedzi „Realtek/V1.3”, co oznacza, że są to routery podatne na atak. Kolejne 350 tysięcy routerów wykorzystuje oprogramowanie zbudowane przy wykorzystaniu starszej wersji SDK, która według Lawshae'a jest również podatna na ten atak.

Nawet jeśli router nie udostępnia usługi UPnP na zewnątrz, nadal może być podatny na atak od strony sieci lokalnej (przy użyciu interfejsu kablowego i bezprzewodowego). Ponadto, jeśli chociaż jedna z usług udostępnianych przez router lub punkt dostępowy korzysta ze składnika miniigd, również będzie podatna na omawiany atak.

Zatem pierwszym krokiem, który należy niezwłocznie podjąć, jest ponowne zainstalowanie najnowszej dostępnej wersji firmware'u i całkowite wyłączenie usługi UPnP. Należy także wprowadzić restrykcje w dostępie do innych usług, takich jak panel administracyjny za pomocą reguł zapory sieciowej. Jeśli nie będzie to możliwe, należy podjąć decyzję o wymianie urządzenia na model, w którym usługę można wyłączyć i wprowadzić odpowiednie reguły kontroli dostępu.

Informacja o podatności znajduje się na portalu Zero Day Initiative.