CVE-2021-35395

Realtek AP-Router SDK

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

Realtek AP-Router SDK HTTP web server boa contains a buffer overflow vulnerability due to unsafe copies of some overly long parameters submitted in the form that lead to denial-of-service (DoS).

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость (CVE-2021-35395) — это переполнение буфера в веб-сервере boa, входящем в состав SDK для маршрутизаторов Realtek. Атакующий может отправить специально сформированный HTTP-запрос (например, POST с чрезмерно длинными параметрами в форме) на веб-интерфейс устройства. Это приводит к повреждению памяти, сбою веб-сервера и, как следствие, к отказу в обслуживании (DoS) устройства. В некоторых случаях возможное выполнение произвольного кода.

Как исправить

Поскольку уязвимость находится в прошивке устройства, необходимо обновить её до версии, содержащей исправление от производителя.

  1. Определите модель и текущую версию прошивки вашего устройства. Обычно это можно сделать в веб-интерфейсе администратора в разделе "Состояние системы" или "Об устройстве".
  2. Проверьте наличие обновлений на сайте производителя вашего сетевого оборудования (OEM). Например, для устройств на базе Realtek SDK от таких вендоров как TP-Link, D-Link, Tenda, ASUS и других.

  3. Установите патченную версию прошивки. Конкретная команда зависит от модели. Обычно процесс выглядит так:

    • Скачайте файл прошивки с официального сайта.
    • В веб-интерфейсе перейдите в раздел "Обновление прошивки" (System Tools -> Firmware Upgrade).
    • Загрузите файл и дождитесь перезагрузки устройства.

    Пример для некоторых устройств через командную строку (если доступна): ```bash

    Проверка текущей версии

    cat /etc/version

    Обновление через утилиту (имя и синтаксис зависят от производителя)

    Это пример! Используйте инструкцию от вашего вендора.

    fw_upgrade -i eth0 -f /path/to/new_firmware.bin ```

Ключевые версии: Обратитесь к производителю вашего конкретного устройства. Исправление должно быть включено в обновления прошивки, выпущенные после июля 2021 года.

Временное решение

Если немедленное обновление невозможно, примените следующие меры:

  1. Ограничьте доступ к веб-интерфейсу управления:

    • Отключите доступ к веб-интерфейсу из внешней сети (WAN). Оставьте доступ только из доверенной внутренней сети (LAN).
    • Если необходим удалённый доступ, используйте VPN.

  2. Настройте правила межсетевого экрана (Firewall):

    • Заблокируйте все входящие подключения из интернета к портам веб-интерфейса устройства (обычно TCP/80 и TCP/443) на WAN-интерфейсе.
    • Разрешите подключения только с определённых доверенных IP-адресов внутри локальной сети.

    Пример правила для iptables (на шлюзе выше роутера или на самом роутере, если он на Linux): ```bash

    Блокировка всего входящего на порт 80/443 с WAN (интерфейс eth1)

    iptables -A INPUT -i eth1 -p tcp --dport 80 -j DROP iptables -A INPUT -i eth1 -p tcp --dport 443 -j DROP

    Разрешение доступа только из внутренней сети 192.168.1.0/24

    iptables -A INPUT -i eth0 -s 192.168.1.0/24 -p tcp --dport 80 -j ACCEPT iptables -A INPUT -i eth0 -s 192.168.1.0/24 -p tcp --dport 443 -j ACCEPT ```

  3. Используйте WAF (Web Application Firewall):

    • Разместите устройство за WAF, который может фильтровать вредоносные HTTP-запросы.
    • Настройте правило в WAF на блокировку запросов с аномально длинными параметрами в теле или URL.

  4. Рассмотрите возможность замены устройства на модель с актуальной и поддерживаемой прошивкой.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей