تتعرض الأجهزة التي نستخدمها كل يوم دائمًا لخطر التعرض لنقاط الضعف ، نظرًا لعدم وجود جهاز مثالي. يمكن إصلاح معظم هذه الثغرات من خلال التحديث ، ولكن المشكلة تأتي عندما لا يكون لدى بعض هذه الأجهزة آلية تحديث لحل الفشل ، والبعض الآخر لا يتلقى حتى التحديثات.
هذا ما يحدث للثغرة الأمنية التي اكتشفها الباحثون الألمان وأكدتها شركة Realtek نفسها. أعلنت الشركة التايوانية أن هناك أربع نقاط ضعف في ثلاث مجموعات من مجموعات التطوير (SDKs).تسمح هذه العيوب للمهاجم بالوصول الكامل إلى الجهاز وتنفيذ التعليمات البرمجية بشكل تعسفي بأعلى مستوى من الامتيازات. القائمة الكاملة للثغران هي كما يلي:
CVE-2021-35392 : ثغرة أمنية في تجاوز سعة المخزن المؤقت في خادم "WiFi Simple Config" بسبب الإنشاء غير الآمن لرسائل إشعار SSDP
CVE-2021-35393 : ثغرة أمنية في تجاوز سعة المخزن المؤقت في خادم "WiFi Simple Config" بسبب التحليل غير الآمن لاصال UPnP SUBSCRIBE / UNSUBSCRIBE
CVE-2021-35394 : نقاط ضعف متعددة في تجاوز سعة المخزن المؤقت وثغرة أمنية تعسفية لإدخال رمز في أداة MP "UDPServer"
CVE-2021-35395 : ثغرات أمنية متعددة لتجاوز سعة المخزن المؤقت في خادم ويب HTTP بسبب النسخ غير الآمنة لبعض المعلمات الطويلة جدًا
يشمل المتأثرون جميع أنواع أجهزة إنترنت الأشياء ، بما في ذلك جهزة توجيه 4G ، ومكررات WiFi ، وكاميرات الأمان ، ومصابيح الإضاءة الذكية ، وحتى ألعاب الأطفال. تشمل الشركات المصنعة المتأثرة أجهزة من 47 علامة تجارية. النماذج متوفرة على هذا الرابط ، وتؤثر على الشركات المصنعة التالية:
Abocom System Inc.
AIgital
Amped Wireless
Askey
ASUSTek Computer Inc.
BEST ONE TECHNOLOGY CO., LTD.
Beeline
Belkin
Buffalo Inc.
Calix Inc.
China Mobile Communication Corp.
Compal Broadband Networks, INC.
D-Link
DASAN Networks
Davolink Inc.
Edge-core
Edimax
Edison
EnGenius Technologies, Inc.
ELECOM Co.,LTD.
Esson Technology Inc.
EZ-NET Ubiquitous Corp.
FIDA
Hama
Hawking Technologies, Inc.
MT-Link
Huawei
I-O DATA DEVICE, INC.
iCotera
IGD
LG International
LINK-NET TECHNOLOGY CO., LTD.
Logitec
MMC Technology
MT-Link
NetComm Wireless
Netis
Netgear
Nexxt Solutions
Observa Telecom
Occtel
Omega Technology
PATECH
PLANEX COMMUNICATIONS INC.
Planex Communications Corp.
PLANET Technology
Realtek
وفقًا للباحثين الذين اكتشفوا الثغرة الأمنية ، فقد اكتشفوا ما لا يقل عن 198 جهازًا فريدًا استجابت عبر UPnP للطلبات المرسلة. بافتراض بيع آلاف الوحدات من كل من هذه الأجهزة ، فإننا نواجه فشلًا يؤثر على ملايين الأجهزة الموجودة في أيدي المستخدمين.
تم إصلاح الخلل الأمني في إصدار مجموعة تطوير Luna في الإصدار 1.3.2a ، بينما سيتعين على مستخدمي Jungle تنفيذ التحديثات التي نشرتها الشركة.
لم يتبق الآن سوى وصول تصحيحات الأمان إلى الأجهزة المتأثرة ، حيث قد يكون من الخطر استخدام أجهزة واي فاي القديمة كمكررات للوي فاي حيث أنها تتأثر بالثغرة إذا لم تكن ستتلقى تصحيحات الأمان.
ليست هناك تعليقات:
إرسال تعليق