这是描述信息
这是描述信息

瑞昱WiFi芯片曝出严重漏洞,华硕网件全中招

访问量:

近日,物联网和网络设备市场传来噩耗,海量联网设备采用的无线芯片——芯片厂商瑞昱(Realtek)的Realtek RTL819xD模块曝出一个严重漏洞,攻击者可完全访问设备、操作系统和其他网络设备。

 

Realtek提供的无线芯片几乎被所有知名电子产品制造商使用,产品类别覆盖VoIP和无线路由器、中继器、IP摄像机和智能照明控制等等具备无线联网功能的设备。受影响的硬件制造商名单包括 AsusTEK(华硕)、Belkin(贝尔金)、D-Link、Edimax、Hama、Netgear(网件)等。

 

我们的安全研究人员发现并分析了这个漏洞,它影响了数十万台设备。我们通知了Realtek,他们立即回复并提供了适当的补丁。强烈建议使用易受攻击的Wi-Fi模块的制造商检查他们的设备并向用户提供安全补丁,”IoT Inspector董事总经理Florian Lukavsky说。

Realtek漏洞:攻击者可以做什么

 

要使漏洞利用成功,攻击者通常需要位于同一个Wi-Fi网络上。但是,错误的ISP配置也会将许多易受攻击的设备直接暴露给Internet。

 

成功的攻击将提供对Wi-Fi模块的完全控制,以及对嵌入式设备操作系统的根访问。总共在芯片组中发现了十几个漏洞。

 

“目前对这些类别的设备的安全意识太少——无论是用户还是制造商,他们都盲目依赖供应链中其他制造商的组件而不进行测试。结果,这些组件或产品成为不可预测的风险,”Lukavsky警告说。

 

据Forrester的报告,全球只有38%的企业安全决策者拥有足够的策略和工具来正确管理物联网设备。多数制造商迫切需要实施物联网供应链安全指南。

 

 

受影响的版本

 

Realtek的安全公告列出了下列产品版本存在漏洞:

 

  • rtl819x-SDK-v3.2.x系列

  • rtl819x-SDK-v3.4.x系列

  • rtl819x-SDK-v3.4T系列

  • rtl819x-SDK-v3.4T-CT系列

  • rtl819x-eCos-v1.5.x系列

 

 

已修复版本

 

  • Realtek SDK分支2.x:Realtek不再支持

  • Realtek“Jungle”SDK:补丁将由Realtek提供,需要向后移植

  • Realtek“Luna”SDK:1.3.2a版包含修复

 

 

漏洞编号

 

  • CVE-2021-35392

  • CVE-2021-35393

  • CVE-2021-35394

  • CVE-2021-35395

    参考资料

     

    Realtek安全公告:

    https://www.realtek.com/images/safe-report/Realtek_APRouter_SDK_Advisory-CVE-2021-35392_35395.pdf

     

    IoT Inspector漏洞报告:

    http://www.chengzhisec.com/companyfile/13.html

联系我们

 

176-3413-2922

地址:北京市海淀区中关村南大街6号中电信息大厦410

邮箱:zhanglulu@chengzhisec.com

公众号二维码

扫一扫,关注我们公众号

京公网安备11010802040759号             京ICP备2021025227号-1