Falha crítica permite ataques via IP em milhões de aparelhos com chips Realtek

Uma falha de segurança crítica em dispositivos de rede com processadores da marca Realtek pode colocar milhões de usuários em risco ao redor do mundo. Pela vulnerabilidade, criminosos podem executar códigos maliciosos em roteadores, repetidores e pontos de acesso sem a necessidade de acesso direto a sistemas ou interação com o usuário, tendo apenas o endereço IP externo dos dispositivos.

• Criminosos levam 15 minutos para atacar após descoberta de falhas de segurança
• Sem senha, milhares de dispositivos de acesso remoto estão vulneráveis a invasão

A brecha foi apresentada neste final de semana durante a conferência DefCon, uma das mais prestigiadas do mercado de segurança da informação, por quatro pesquisadores da empresa argentina Faraday Security. Ao lado de estudantes da Universidade de Buenos Aires, eles localizaram uma falha de transbordamento de buffer nos chips da linha RTL819x da Realtek, permitindo a execução de códigos a partir do recebimento de pacotes maliciosos pela rede.

Entre as possibilidades maliciosas apontadas pelo estudo está o travamento dos aparelhos e a execução remota de malware, podendo levar à instalação de pragas ou ao estabelecimento de portas de entrada nas redes. Os aparelhos comprometidos também podem ser usados em operações de manipulação, com os criminosos bloqueando o acesso a determinados sites ou serviços, ou fraudes adicionais, com o desvio dos acessos a locais indicados por eles. Há, ainda, a possibilidade de movimentação lateral, o que inclui uma disseminação em massa para listas de IPs públicos disponíveis na internet.

Falha é classificada com alto grau de severidade

A CVE-2022-27255, como foi chamada, tem uma nota 9,8, de um total de 10, no ranking de severidade, mas o processo de atualização deve ser vagaroso. Entre as marcas que possuem aparelhos vulneráveis em seu portfólio estão D-Link, Zyxel, ASUSTek, Belkin e Edimax; a Realtek foi notificada sobre a brecha no início do ano e publicou atualização em março, muitas das dezenas de fabricantes de produtos com os chips ainda não liberaram updates para suas linhas de dispositivos.

Entre modelos fora de linha, a demora em fazer isso por marcas menores ou a simples falta de interesse, estamos olhando para uma brecha que pode se tornar, rapidamente, um problema para todo o mercado. A apresentação na DefCon não cita campanhas em andamento ou ataques detectados usando a falha, mas agora, com seus detalhes vindo à público, deve ser questão de tempo até que criminosos comecem a vasculhar as redes em busca de vulnerabilidades.

Mesmo nos dispositivos que já tiverem atualização contra a brecha, a recomendação é a criação de regras específicas que bloqueiem o tipo de pacote malicioso usado em ataques. O ideal é impedir o recebimento de solicitações UDP, enquanto um código criado pelos próprios pesquisadores também ajuda a identificar dados que tentem ultrapassar as barreiras do buffer para executar aplicações maliciosas.

Fonte: SANS Internet Storm Center