Realtek rtl819x: krytyczna eskalacja uprawnień w sterownikach Wi‑Fi może prowadzić do pełnego przejęcia Linuksa - Security Bez Tabu

Realtek rtl819x: krytyczna eskalacja uprawnień w sterownikach Wi‑Fi może prowadzić do pełnego przejęcia Linuksa

Cybersecurity news

Wprowadzenie do problemu / definicja

Ujawniona podatność CVE-2026-36355 dotyczy out-of-tree sterownika Wi‑Fi z rodziny Realtek rtl819x, wykorzystywanego w wielu urządzeniach sieciowych i embedded opartych na linuksowym SDK producenta. Błąd wynika z braku odpowiednich kontroli uprawnień dla wybranych operacji ioctl, co pozwala lokalnemu, nieuprzywilejowanemu użytkownikowi uzyskać możliwość odczytu i zapisu pamięci jądra.

W praktyce oznacza to prostą drogę do pełnej lokalnej eskalacji uprawnień. Po skutecznym wykorzystaniu luki atakujący może przejąć kontrolę nad systemem operacyjnym i uruchomić powłokę z prawami roota.

W skrócie

  • Podatność oznaczono jako CVE-2026-36355.
  • Problem dotyczy sterowników Realtek rtl819x używanych w wielu urządzeniach opartych na Linuksie.
  • Atak nie wymaga wcześniejszych uprawnień administratora.
  • Luka umożliwia bezpośredni odczyt i zapis pamięci jądra.
  • Skutkiem jest pełne przejęcie systemu przez lokalnego użytkownika.

Kontekst / historia

Według publicznie dostępnych informacji podatność występuje w Realtek rtl819x Jungle SDK, w tym we wszystkich znanych wersjach do 3.4.14B. Zagrożone są urządzenia korzystające z własnościowego, dostarczanego poza głównym drzewem jądra sterownika Wi‑Fi, który bywa szeroko integrowany przez producentów OEM i ODM.

Skala problemu może być znacząca, ponieważ nie chodzi o pojedynczy model sprzętu, lecz o całą rodzinę urządzeń budowanych na wspólnym kodzie bazowym. Taki scenariusz zwiększa ryzyko rozprzestrzenienia podatności w łańcuchu dostaw, zwłaszcza tam, gdzie starsze gałęzie SDK są utrzymywane przez lata bez pełnego audytu bezpieczeństwa.

W grupie potencjalnie narażonych urządzeń mogą znajdować się m.in. routery, punkty dostępowe, bramy LTE, modemy CPE oraz inne systemy embedded wykorzystywane na brzegu sieci.

Analiza techniczna

Źródłem problemu jest brak weryfikacji capability checks dla prywatnych operacji ioctl o numerach 0x89F5 oraz 0x89F6, opisanych odpowiednio jako write_mem i read_mem. Takie interfejsy umożliwiają procesowi użytkownika wykonywanie operacji o charakterze administracyjnym lub debugowym bez wymaganej kontroli dostępu.

Opublikowany kod demonstracyjny najpierw identyfikuje interfejs sieciowy powiązany z podatnym sterownikiem, a następnie buduje prymitywy odczytu i zapisu pamięci jądra. Kolejny etap polega na przeszukiwaniu pamięci w celu odnalezienia struktury init_task, wykorzystując charakterystyczny ciąg swapper jako punkt odniesienia.

Po znalezieniu odpowiedniego obszaru exploit automatycznie określa kluczowe offsety w strukturze task_struct, w tym pola odpowiadające za listę procesów, PID, wskaźnik do cred oraz nazwę procesu. Następnie przechodzi listę zadań jądra, aby odnaleźć strukturę odpowiadającą bieżącemu procesowi atakującego.

W finalnym kroku dochodzi do nadpisania pól poświadczeń procesu, w tym identyfikatorów użytkownika i grupy, tak aby odpowiadały kontu root. Dodatkowo ustawiany jest pełny zestaw capability, co daje kompletne uprzywilejowanie procesu i pozwala uruchomić powłokę systemową z pełnymi prawami administracyjnymi.

Z technicznego punktu widzenia exploit zakłada określone warunki środowiskowe, takie jak przewidywalny układ pamięci jądra lub brak KASLR. Nie zmienia to jednak oceny zagrożenia, ponieważ aktywny, podatny sterownik zapewnia bardzo silny mechanizm lokalnego przejęcia systemu.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem podatności jest pełna lokalna eskalacja uprawnień do roota. W praktyce oznacza to, że każdy scenariusz pozwalający napastnikowi na choćby ograniczone wykonanie kodu na urządzeniu może zostać rozwinięty do całkowitego przejęcia platformy.

W środowiskach operatorskich, przemysłowych i enterprise kompromitacja urządzeń brzegowych może prowadzić do zmiany konfiguracji sieci, instalacji backdoorów, wyłączenia mechanizmów monitoringu oraz manipulowania ruchem. Przejęty router lub punkt dostępowy może stać się również punktem wyjścia do dalszych działań w sieci wewnętrznej.

Dodatkowym problemem jest fragmentacja procesu aktualizacji w ekosystemie embedded. Nawet jeśli poprawka zostanie przygotowana na poziomie komponentu bazowego, jej wdrożenie przez producentów końcowych może być opóźnione albo w ogóle nie nastąpić, co wydłuża realne okno narażenia.

Rekomendacje

Organizacje powinny w pierwszej kolejności przeprowadzić inwentaryzację urządzeń wykorzystujących układy i sterowniki Realtek rtl819x oraz ustalić wersje firmware’u, gałęzie SDK i obecność prywatnych interfejsów ioctl odpowiedzialnych za odczyt lub zapis pamięci. Bez takiego przeglądu trudno wiarygodnie ocenić skalę narażenia.

Jeżeli producent sprzętu udostępnił poprawkę lub nowe wydanie firmware’u, wdrożenie powinno zostać potraktowane priorytetowo. W przypadku braku aktualizacji warto uzyskać od dostawcy oficjalne stanowisko dotyczące statusu podatności i planu remediacji.

W ramach działań ograniczających ryzyko warto:

  • zminimalizować możliwość lokalnego wykonywania kodu na urządzeniach,
  • wyłączyć zbędne usługi administracyjne,
  • wymusić silne uwierzytelnianie administratorów,
  • stosować segmentację sieci dla urządzeń brzegowych,
  • monitorować nieautoryzowane zmiany konfiguracji i nietypowe procesy,
  • wdrażać mechanizmy kontroli integralności oraz bezpiecznego rozruchu tam, gdzie to możliwe.

Z perspektywy długoterminowej istotny jest także przegląd własnościowych sterowników i komponentów spoza głównego drzewa jądra. To właśnie takie moduły często omijają standardowe procesy code review i hardeningu, a przez to stają się źródłem krytycznych luk w urządzeniach sieciowych i IoT.

Podsumowanie

CVE-2026-36355 pokazuje, jak groźne mogą być prywatne interfejsy sterowników jądra pozostawione bez skutecznej kontroli uprawnień. W przypadku Realtek rtl819x skutkiem jest możliwość bezpośredniego odczytu i zapisu pamięci jądra, a następnie pełnego przejęcia systemu przez zwykłego użytkownika lokalnego.

Ze względu na szerokie wykorzystanie tego typu SDK w urządzeniach embedded problem należy traktować jako istotne ryzyko dla infrastruktury brzegowej. Kluczowe działania obronne to szybka identyfikacja podatnych urządzeń, priorytetowe wdrożenie aktualizacji oraz ograniczenie lokalnej powierzchni ataku.

Źródła

  1. Exploit Database – Realtek rtl819x – Local Privilege Escalation — https://www.exploit-db.com/exploits/52580
  2. NVD – CVE-2026-36355 — https://nvd.nist.gov/vuln/detail/CVE-2026-36355
  3. Representative GPL release referenced in advisory — https://github.com/iptime-gpl/userapps_n104qi