关于ZAKER 免费视频剪辑 合作 加入

Realtek Wi-Fi 模块多安全漏洞,可劫持无线通信

研究人员在 Realtek RTL8170C Wi-Fi 模块中发现多个安全漏洞,可用来劫持无线通信。

Realtek RTL8710C 模块是基于 Cortex M3 处理器的,RTL8710C 中不包含 ADC/DAC 模块、GPIO 端口也少,能耗也低,广泛用于农业、能源、游戏、健康、智能家居等设备中。近日,研究人员在 Realtek RTL8170C Wi-Fi 模块中发现了多个安全漏洞。攻击者利用这些漏洞可以在受害者设备上进行权限提升,并劫持无线网络通信。

漏洞存在于该模块的 WPA2 握手机制中,研究人员发现其握手机制易受到 2 个基于栈的缓冲区溢出漏洞,漏洞 CVE 编号为 CVE-2020-27301 和 CVE-2020-27302。这两个漏洞的利用都需要攻击者知道网络的 PSK,然后攻击者滥用其来获取 WPA2 客户端上的远程代码执行。

CVE-2020-27301 漏洞

在 WPA2 4 次握手中,EAPOL 帧中会产生一次密钥交换。在密钥交换过程中,Realtek WPA2 客户端会调用 ClientEAPOLKeyRecvd 来处理该数据包。而 ClientEAPOLKeyRecvd 会调用 DecGTK ( ) 函数解密 GTK ( Group Temporal Key ) 。而在 DecGTK ( ) 中,会有一个不安全的 AES_UnWRAP ( ) 被调用。漏洞就存在于该函数的调用中。

漏洞影响所有使用该组件来连接诶 WiFi 网络的嵌入式设备和 IoT 设备中。攻击者利用该漏洞要求与受害者设备处于同一 WiFi 网络下,攻击者成功利用该漏洞可以完全控制 WiFi 模块,并可能获取嵌入式设备操作系统的 root 权限。

CVE-2020-27302 漏洞

CVE-2020-27302 漏洞是 WPA2 密钥分析中的栈溢出漏洞,CVSS 评分 8.0 分。研究人员通过修改开源的 hostapd 来实现漏洞利用。PoC 中攻击者作为 AP,发送恶意的加密的 GTK 给通过 WPA2 连接的任意客户端:

https://d3u9fi9s7csg1s.cloudfront.net/files/2021-06/Exploiting%20Realtek%20vuln%20-%20take2%20-%20edited.mp4

PoC 视频证明了该栈溢出漏洞,并最终将返回地址覆写为无效地址(0x95f98179)。因为缓存是通过 AES 解密的,所以该地址是随机地址,因为攻击者知道所有的加密参数,因此可以精准控制返回地址。

更多技术细节参见:https://www.vdoo.com/blog/realtek-wifi-vulnerabilities-zero-day

以上内容由"嘶吼RoarTalk"上传发布 查看原文
一起剪

一起剪

ZAKER旗下免费视频剪辑工具

一起剪

觉得文章不错,微信扫描分享好友

扫码分享