Mieux détecter la CVE-2021-35394 Realtek Jungle SDK grâce à l’équipe purple de Gatewatcher
Pourquoi revenir sur une vulnérabilité de 2021 ?
Depuis quelques jours, la CVE-2021-35394 revient systématiquement dans les fils d’actualité de cybersécurité. La cause de ce phénomène peut être expliquée par la publication d’un article exposant une utilisation intensive de cette vulnérabilité par les malwares ciblant l’IoT depuis août 2022.
Parmi ces malwares, nous retrouverons bien évidemment Mirai, mais également deux « nouveaux venus » ZeroBot et RedGoBot.
Revenons donc sur cette vulnérabilité qui fait tant parler d’elle.
L’attaque
Cette vulnérabilité concerne le composant UDPServer est un outil de diagnostic présent dans le SDK Realtek « Jungle ».
Publiée en août 2021, elle regroupe des vulnérabilités de type « buffer overflow » mais également, une injection de commande possible. Dans le détail de la vulnérabilité, les chercheurs ont remonté que l’injection de commande est en réalité le contournement d’un correctif appliqué pour une vulnérabilité détectée en 2015.
Le processus UDPServer peut être employé différemment suivant les constructeurs : en tant que processus permanent, lancé à la demande lors d’actions spécifiques ou ne pas
être utilisé mais présent sur le système.
L’exploitation de cette vulnérabilité quant à elle est triviale.
En effet, afin de contourner la problématique remontée précédemment, le code ne vérifie que la présence de certaines chaînes (comme orf) utilisées comme commande possible, concatène une chaîne, puis exécute le code via un appel à la fonction system().
Ainsi une chaîne du type orf ; ls ; # permettra l’exécution de la commande ls.
Détection
A ce jour, il ne semble pas exister de règles ET pro concernant cette vulnérabilité. Cependant, celle-ci a été détectée comme utilisée en production principalement par le botnet Mirai (et ses variantes) à partir d’août 2022.
Les payloads principalement détectés consistent à récupérer des malwares via des URLs HTTP.
L’absence de règle est donc palliée par la détection du moteur malcore.
Cependant, cette attaque est détectable grâce aux règles suivantes :
alert udp any any -> any 9034 (msg: »GW CURRENT_EVENT Possible exploitation of RCE
CVE-2021-35394 (orf) »; flow:to_server; content: »orf|3B| »; distance: 0; classtype:attempted-admin; metadata: signature_severity Major,created_at 2023_01_26;sid:1000001; rev:1; )
alert udp any any -> any 9034 (msg: »GW CURRENT_EVENT Possible exploitation of RCE CVE-2021-35394 (irf) »; flow:to_server; content: »irf|3B| »; distance: 0;classtype:attempted-admin; metadata: signature_severity Major,created_at 2023_01_26; sid:1000002; rev:1; )
alert udp any any -> any 9034 (msg: »GW CURRENT_EVENT Possible exploitation of RCE CVE-2021-35394 (cat) »; flow:to_server; content: »cat|3B| »; distance: 0;classtype:attempted-admin; metadata: signature_severity Major,created_at 2023_01_26;sid:1000003; rev:1; )
Ces règles étant fournies à titre indicatif, il est recommandé de les tester avant de les appliquer en production.
Versions concernées :
- Realtek Jungle SDX version 2.x
- rtl819x-SDX-v3.2.x Series
- rtl819x-SDK-v3.4x Series
- rtl819x-SDK-v3.4T Series
- rtl819x-SDK-v3.4T-CT Series
- rtl819x-eCos-v.1.5.x Series
Auteur : Purple Team Gatewatcher
Ressources
- Write-ups :
- Advisory :