[English]Sicherheitsforscher von IoT Inspector haben gleich mehrere Schwachstellen in einem Realtek SDK gefunden, die es nicht authentifizierten Angreifern ermöglichen, ein Gerät vollständig zu kompromittieren und beliebigen Code mit den höchsten Berechtigungen auszuführen. Das SDK wird von vielen OEMs verwendet, um WiFi-Funktionen in Geräten zu implementieren. Realtek hat zwar eine aktualisierte Version des SDK veröffentlicht, aber der Code steckt in zahlreichen IoT-Geräten. Mindestens 65 Hersteller sind von schwerwiegenden Sicherheitslücken betroffen, und Anwender stehen vor dem Problem, dass diese Geräte durch Botnetze und Angreifer übernommen werden können.
Anzeige
Die Sicherheitsforscher von IoT Inspector fanden im Rahmen der Untersuchung eines bestimmten Kabelmodems auf Sicherheitslücken heraus, dass dieses System ein Dual-SoC-Design verwendet. Auf dem Haupt-SoC lief ein Linux-System, während auf dem zweiten SoC – einem speziellen Realtek RTL819xD-Chipsatz, der alle Access Point-Funktionen implementiert – ein anderes, abgespecktes Linux-System von Realtek lief.
Realtek SDK für SoC-Chip
Realtek-Chipsätze sind in vielen eingebetteten Geräten im IoT-Bereich zu finden und RTL8xxx SoCs sind in WiFi-Geräten sehr verbreitet. Die Sicherheitsforscher beschlossen daher, der Firmware auf dem Realtek RTL819xD-Chipsatz mehr Zeit zu widmen, wie sie in diesem Blog-Beitrag schreiben. Denn Binärdateien auf dem RTL819xD-SoC, die Netzwerkdienste bereitstellen, werden von Realtek als Teil des Realtek SDK Anbietern und Herstellern, die diesen Chipsatz in Geräten verbauen, zur Verfügung gestellt. Gibt es Schwachstellen im Realtek SDK, betrifft dies sofort eine Reihe von OEM-Geräten. Und dort lag einiges im Argen, wie sich herausstellte.
Mehrere Schwachstellen im Realtek SDK
Mit der Firmware-Analyseplattform von IoT Inspector wurden diese Binärdateien aus dem SDK auf Schwachstellen untersucht. Die Sicherheitsforscher fanden gleich mehr als ein Dutzend Schwachstellen, die von der Befehlsinjektion bis zur Speicherbeschädigung reichen und UPnP, HTTP (Webinterface für die Verwaltung) und einen benutzerdefinierten Netzwerkdienst von Realtek betreffen. Die Schwachstellen ermöglichen nicht authentifizierten Angreifern das Zielgerät remote vollständig zu kompromittieren und beliebigen Code mit der höchsten Berechtigungsstufe auszuführen.
Die Sicherheitsforscher geben an, dass sie mindestens 65 verschiedene betroffene Hersteller mit fast 200 eindeutigen "Fingerabdrücken" in deren Firmware identifiziert haben. Viele Geräte ließen sich über die Suchmaschine Shodan aufspüren, was die Sicherheitsforscher auch auf einige Fehlkonfigurationen von Herstellern und Händlern zurückführen. Dies führt dazu, dass diese Geräte per Internet erreichbar und so dem erhöhten Risiko ausgesetzt sind. Die betroffenen Geräte verfügen über Wi-Fi-Funktionen und decken ein breites Spektrum von Anwendungsfällen ab: von Gateways für Wohngebäude, Mobil-Router, Wi-Fi-Repeatern, IP-Kameras bis hin zu intelligenten Gateways für Beleuchtung oder sogar ans Internet angeschlossenes Spielzeug.
Realtek Sicherheitswarnung
Der in Taiwan beheimatete Hersteller Realtek hat inzwischen sowohl ein aktualisiertes SDK als auch einen Sicherheitshinweis als PDF für die Schwachstellen CVE-2021-35392, CVE-2021-35393, CVE-2021-35394, CVE-2021-35395 herausgegeben. Betroffen ist das Realtek AP-Router SDK in nachfolgenden Versionen:
- rtl819x-SDK-v3.2.x Series
- rtl819x-SDK-v3.4.x Series
- rtl819x-SDK-v3.4T Series
- rtl819x-SDK-v3.4T-CT Series
- rtl819x-eCos-v1.5.x Series
Das Risiko wird von Realtek als hoch eingestuft. Im PDF-Dokument listet der Hersteller die gepatchten Dateien sowie einige Details zu den Sicherheitslücken auf. Zudem hat IoT Inspector diese Schwachstellen detailliert in diesem Blog-Beitrag dokumentiert.
Mirai-Botnet nutzt die Schwachstellen bereits aus
Ich bin u.a. über nachfolgenden Tweet auf das Thema gestoßen. Dort wird darauf hingewiesen, dass die Schwachstellen bereits ausgenutzt werden, um die Geräte durch eine Variante des Mirai-Botnet zu übernehmen.
Anzeige
Bin ich betroffen?
Das große Problem an dieser Geschichte ist für Endanwender die Frage, ob deren Geräte betroffen sind und ob der jeweilige Gerätehersteller Firmware-Updates zum Schließen dieser Schwachstellen bereitstellt. IoT Inspector gibt in diesem Blog-Beitrag den Hinweis, dass man durch Inspektion der Verzeichnisse auf dem SoC einen ersten Hinweis erhält. Findet sich dort die Datei /etc/motd und wird dort rlx-linux erwähnt, ist das ein Indikator dafür, dass das Realtek SDK verwendet wurde. rlx-linux ist ein abgespecktes Linux-System von Realtek, das speziell für die RTL-Chipsätze entwickelt wurde.
Das Problem, was ich so sehe: Das Groß der Anwender wird überhaupt nichts von dieser Sicherheitswarnung mitbekommen, ein weiterer Teil dürfte nicht in der Lage sein, die Firmware auf dem SoC zu inspizieren. Was bleibt für eine erste schnelle Prüfung, ob man vielleicht mit seinem Hardware-Zoo betroffen ist?
IoT Inspector listet in seinem Blog-Beitrag eine Reihe Geräte diverser Hersteller auf, bei denen das anfällige Realtek SDK zur Erstellung der Firmware verwendet wurde. Das reicht von ASUSTek und Belkin WLAN-Routern über Buffalo und D-Link WLAN-Geräte bis hin zu Hama-, Logitec-, und Netgear-Produkten. Natürlich sind auch Realtek-Komponenten, Geräte von Technicolor und Zyxel dabei. Geht einfach den verlinkten Blog-Beitrag durch, die entsprechenden Hinweise finden sich am Artikelende.
2015
Was die Router von ASUS und D-Link betrifft sind das fast durchwegs nicht mehr aktuelle Geräte, ist eine gute Gelegenheit auf neue Hardware umzusteigen.