Veel kleine switches kwetsbaar voor meerdere unauthenticated remote code execution kwetsbaarheden

Informatie over de kwetsbaarheden

Veel verschillende kleine netwerk switches, die vaak worden ingezet door MKB bedrijven en thuisgebruikers zijn kwetsbaar voor meerdere unauthenticated remote code execution kwetsbaarheden. Deze kwetsbaarheden zijn gevonden door de Security onderzoeker bashis Al deze kwetsbaarheden hebben te maken met de Realtek Managed Switch Controller (RTL83xx) SDK. Er zijn verschillende leveranciers die gebruik maken van de code afkomstig van de genoemde SDK.

Het bedrijf VDOO heeft alle betrokken leveranciers die zijn geïdentificeerd door de Security onderzoeker bashis benaderd en hebben onder een responsible disclosure de leveranciers die reageert hebben op de hoogte te brengen van de kwetsbaarheden. Helaas heeft het bedrijf sinds hun eerste poging in maart 2019 nog geen technisch antwoord gekregen van Realtek met betrekking tot de problemen.

Lijst met kwetsbaren modellen per leverancier en huidige status

  • Zyxel Communications Corp., modellen GS1900-24 v2.40_AAHL.1_20180705 – kwetsbaarheden bevestigd en gepatched;
  • NETGEAR, modellen GS750E ProSAFE Plus Switch v1.0.0.22, GS728TPv2, GS728TPPv2, GS752TPv2, GS752TPP v6.0.0.45, GS728TPv2, GS728TPPv2, GS752TPv2, GS752TPP v6.0.0.37 – kwetsbaarheden bevestigd en gepatched;
  • Cisco Systems, Inc., 220 Series Smart Switches, versies eerder dan 1.1.4.4 – kwetsbaarheden bevestigd en gepatched;
  • Realtek, SDK + modellen RTL8380-24GE-4GEC v3.0.0.43126 – heeft nog niet gereageerd na de eerste benadering door VDOO;
  • EnGenius Technologies, Inc., modellen EGS2110P v1.05.20_150810-1754, EWS1200-28TFP v1.07.22_c1.9.21_181018-0228, EWS1200-28TFP v1.06.21_c1.8.77_180906-0716 – heeft nog niet gereageerd na de eerste benadering door VDOO;
  • PLANET Technology Corp., modellen GS-4210-8P2S v1.0b17111, GS-4210-24T2S v2.0b160727 – heeft nog niet gereageerd na de eerste benadering door VDOO;
  • DrayTek Corp., modellen VigorSwitch P1100 v2.1.4 – kwetsbaarheden moeten nog bevestigd worden door de leverancier;
  • CERIO Corp., modellen CS-2424G-24P v1.00.29 – heeft nog niet gereageerd na de eerste benadering door VDOO;
  • ALLNET GmbH, modellen ALL-SG8208M v2.2.1 – kwetsbaarheden bevestigd, maar moeten nog gepatched worden;
  • Xhome, modellen DownLoop-G24M v3.0.0.43126 – heeft nog niet gereageerd na de eerste benadering door VDOO;
  • Abaniact (a brand of INABA), modellen AML2-PS16-17GP L2 v116B00033 – heeft nog niet gereageerd na de eerste benadering door VDOO;
  • Araknis Networks (SnapAV), modellen AN-310-SW-16-POE v1.2.00_171225-1618 – kwetsbaarheden moeten nog bevestigd worden door de leverancier;
  • EDIMAX Technology Co., modellen GS-5424PLC v1.1.1.6, GS-5424PLC v1.1.1.5 – heeft nog niet gereageerd na de eerste benadering door VDOO;
  • Open Mesh, Inc., modellen OMS24 v01.03.24_180823-1626 – heeft nog niet gereageerd na de eerste benadering door VDOO;
  • Pakedgedevice & Software Inc, modellen SX-8P v1.04 – heeft nog niet gereageerd na de eerste benadering door VDOO;
  • Shenzhen TG-NET Botone Technology Co,. Ltd., modellen P3026M-24POE (V3) v3.1.1-R1 – heeft nog niet gereageerd na de eerste benadering door VDOO.

VDOO heeft aangegeven dat ze door blijven gaan met het ondersteunen en werken met de betrokken leveranciers. Ook wordt er een oproep gedaan aan andere leveranciers die gebruik maken van de SDK in hun producten om contact met VDOO op te nemen.

Proof-of-Concept(PoC)

De security onderzoeker bashis heeft nu ook een Proof-of-Concept (PoC) publiekelijk beschikbaar gemaakt op 30 september 2019, waarmee aangetoond wordt hoe er misbruik gemaakt kan worden van de kwetsbaarheden. Ook worden bij deze PoC de volgende CVE’s aangegeven:

Bovengenoemde CVE’s hebben betrekking tot de Cisco 220 Series Smart Switches, waarvoor CISCO al patches heeft uitgebracht en klanten die gebruik maken van deze switches worden aangeraden om hun firware te updaten naar versie 1.1.4.4 of een nieuwere versie.

Advies

Wij adviseren iedereen die gebruik maakt van één of meerdere van de kwetsbare switches de firmware van deze switches te updaten naar een niet kwetsbare versie of de beschikbaar gestelde security patches te installeren, zodat deze switches niet meer misbruikt kunnen worden door externe aanvallers. Indien een leverancier nog geen security patch of update heeft uitgebracht wordt er geadviseerd om deze te installeren, wanneer deze beschikbaar worden gemaakt.

Daarnaast adviseren wij ook om met je leverancier of reseller contact op te nemen met de vraag wanneer er een security patch of update beschikbaar wordt gesteld. Indien dit op korte termijn niet het geval is, dan adviseren wij om de switch(es) te vervangen voor niet kwetsbare switch(es).

Wil jij ook wekelijks op de hoogte gehouden worden over het laatste nieuws omtrent Security. Meld je dan nu aan via sales@sincerus.nl voor onze SOC Weekly Security Bulletin.

Fortinet producten
Bijna 900 bedrijven en instellingen in Nederland hebben te maken met beveiligingslek in Fortinet SSL VPN

Gerelateerde berichten

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Fill out this field
Fill out this field
Geef een geldig e-mailadres op.
Je moet de voorwaarden accepteren voordat je het bericht kunt verzenden

1 × 2 =

Menu