流行的嵌入式设备Realtek Wi-Fi模块中发现关键漏洞

Realtek RTL8195A Wi-Fi模块中发现了主要漏洞，可利用这些漏洞获得根访问权限并完全控制设备的无线通信。

以色列物联网安全公司Vdoo的研究人员报告了这六个漏洞。

Realtek RTL8195A模块是一个独立的低功耗Wi-Fi硬件模块，面向农业、智能家居、医疗保健、游戏和汽车等多个行业使用的嵌入式设备。

它还利用了“Ameba”API，允许开发者通过Wi-Fi、HTTP和MQTT（一种针对小型传感器和移动设备的轻量级消息传递协议）与设备进行通信。

虽然Vdoo发现的问题仅在RTL8195A上得到验证，但研究人员表示，它们也扩展到了其他模块，包括RTL8711AM、RTL8711AF和RTL8710AF。

这些缺陷涉及堆栈溢出和越界读取的混合，越界读取源于认证期间Wi-Fi模块的WPA2四向握手机制。

其中最主要的是一个缓冲区溢出漏洞（CVE-2020-9395），该漏洞允许RTL8195模块附近的攻击者完全接管该模块，而无需知道Wi-Fi网络密码（或预共享密钥），也无需考虑该模块是用作Wi-Fi接入点（AP）还是客户端。

另外两个漏洞可能被滥用以发起拒绝服务，而CVE-2020-25854等另外三个漏洞可能允许利用Wi-Fi客户端设备并执行任意代码。

因此，在一种潜在的攻击场景中，事先知道受害者设备所连接的WPA2 Wi-Fi网络密码短语的对手可以通过嗅探网络的SSID和成对传输密钥（PTK）和#8212，创建恶意AP；用于加密客户端和AP之间的通信量—；并强制目标连接到新AP并运行恶意代码。

作为回应，Realtek发布了Ameba Arduino 2.0.8，并为Vdoo发现的所有六个漏洞提供了补丁。值得注意的是，2020年4月21日之后发布的固件版本已经具备了阻止此类接管攻击的必要保护。

“Realtek RTL8195AM、RTL8711AM、RTL8711AF和RTL8710AF在2.0.6之前的设备上发现了一个问题，”该公司在一份安全公告中说。“客户端代码中存在基于堆栈的缓冲区溢出，该代码通过格式错误的EAPOL密钥包和长密钥数据缓冲区处理WPA2的4路握手。”