Wi-Fi 6’yı (802.11ax) destekleyen gömülü platformlarda yaygın olarak kullanılan MediaTek Wi-Fi yonga setlerinde kritik bir güvenlik açığı keşfedildi. Bu güvenlik açığı, saldırganların herhangi bir kullanıcı etkileşimi olmadan uzaktan kod yürütme (RCE) saldırıları başlatmasına olanak tanıyor.
CVE-2024-20017 kodlu bu 0 tıklama güvenlik açığı, Ubiquiti, Xiaomi ve Netgear gibi üreticilerin çok çeşitli cihazlarını etkiliyor.
Güvenlik açığı şurada bulunuyor: wappd
MediaTek MT7622/MT7915 SDK ve RTxxxx SoftAP sürücü paketinin bir parçası olan ağ arka plan programı.
Coffinsec’e göre, öncelikle Hotspot 2.0 ve ilgili teknolojiler kullanılarak kablosuz arayüzlerin ve erişim noktalarının yapılandırılması ve koordine edilmesi için kullanılıyor.
Hata, saldırgan tarafından kontrol edilen paket verilerinden doğrudan alınan bir uzunluk değerini sınır denetimi olmaksızın kullanan bir kopyalama işleminin neden olduğu bir arabellek taşmasıdır ve bu, saldırgan tarafından kontrol edilen 1433 bayta kadar verinin yığının dışına taşmasına neden olur.
CISO’larla tanışın, uyumluluğu öğrenmek için Sanal Panele katılın – Ücretsiz Katıl
Araştırmacılar bu hata için, her biri farklı istismar azaltmalarını ve koşullarını hedefleyen dört farklı istismar geliştirdiler.
4 Farklı Exploit
İlk istismar, kaydedilmiş dönüş adresini bozmak ve yürütmeyi çağıran bir ROP aygıtına yönlendirmek için yığın taşmasını kullanan klasik bir dönüş talimatı işaretçisi (RIP) ele geçirme işlemini göstermektedir. system()
kabuk komutlarını çalıştırmak için.
İkinci istismar, keyfi bir yazma ilkelini elde etmek için bir işaretçiyi bozarak yığın kanaryalarını ve ASLR’yi atlatır.
Bu, GOT (Küresel Ofset Tablosu) girişinin üzerine yazmak için kullanılır read()
ROP aygıtının adresiyle birlikte, daha sonra şuraya atlar: system()
Bir kabuk yükünü yürütmek için, dedi coffinsec.
Tam RELRO’ya (Salt Okunur Yeniden Konumlandırmalar) sahip bir sürümü hedefleyen üçüncü istismar, keyfi bir yazma ilkelini elde etmek için ROP’u kullanır.
İsteğe bağlı bir adrese isteğe bağlı 8 baytlık bir değer yazmak için aygıtları zincirler ve sonunda bir kabuk komutu yazar .bss
veya .data
öngörülebilir ve yazılabilir segmentler.
Bu istismar daha sonra kabuk komutunun adresini uygun kayda yerleştiren ve çağıran son bir ROP zincirine atlar system()
.
Dördüncü exploit, ASLR, NX, tam RELRO ve yığın kanaryalarının etkinleştirildiği Netgear WAX206’yı hedef alır. Fonksiyonların ve arm64 semantiğinin satır içi olması nedeniyle, exploit stratejisinin uyarlanması gerekiyordu.
Keyfi bir yazma ilkelini elde etmek için işaretçi bozulmasını kullanır pPktBuf
işaretçi ve ardından yığın çerçevesinde kaydedilen dönüş adresini bozar IAPP_RcvHandler()
.
Bu istismar, işlemin sonlandırılıp bozulmuş dönüş adresine ulaşılmasını gerektirmesi bakımından benzersizdir; bu da onu daha az güvenilir ama yine de etkili hale getirir.
Bu güvenlik açığı, hedef ortamda bulunan belirli koşullara ve hafifletme önlemlerine bağlı olarak farklı yaklaşımların benimsenmesi gereken istismar geliştirmenin karmaşıklığını ve yaratıcılığını ortaya koymaktadır.
Etkilenen cihazların kullanıcılarına, bu güvenlik açığını azaltmak için aygıt yazılımlarını en son sürüme güncellemeleri önerilir. CVE-2024-20017’nin keşfi, gömülü sistemleri güvence altına almada devam eden zorlukların ve olası güvenlik açıklarını belirleme ve gidermede sürekli teyakkuz ihtiyacının bir hatırlatıcısı olarak hizmet eder.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14-day free trial