Realtekの無線機器向けSDKに複数の脆弱性。Wi-Fiルーターなど数十万台に影響か

　IoT Inspectorは16日(現地時間)、Realtekの提供している無線機器向けSDKに存在する複数の脆弱性について報告した。すでにRealtekでも情報を公開している。

　脆弱性の悪用により、認証されていない攻撃者が最上位の権限で任意のコードを実行できる恐れがある。IoT Inspectorでは、少なくとも65のベンターの製品で脆弱性が存在するとみており、無線LANルーターやIoTデバイスなど、数十万台もの機器が影響を受ける可能性があるとしている。

　報告されたのは、「CVE-2021-35392」(WiFi Simple ConfigにおけるUPnP経由のスタックバッファオーバーフロー)、「CVE-2021-35393」(WiFi Simple ConfigにおけるSSDP経由のヒープバッファオーバーフロー)、「CVE-2021-35394」(MP Daemon diagnostic toolにおけるコマンドインジェクション)、「CVE-2021-35395」(Webの管理インターフェイスにおける複数の脆弱性)の4件。深刻度の評価は、前半の2つがHigh、後半の2つがCriticalとなっている。

　Realtekの提供する「Realtek “Jungle” SDK」および「Realtek “Luna SDK”」の一部のバージョンと、「Realtek SDK v2.x」で脆弱性を確認しており、“Jungle” SDKは今後パッチを提供予定(要バックポート)、“Luna SDK”はバージョン1.3.2aで修正済みとなる。なお、Realtek SDK v2.xはすでにサポートの終了した古いSDKで、10年以上前から脆弱性が存在していたものとみられている。