Charlie Osborne är en cybersäkerhetsjournalist och fotograf som skriver för ZDNet och CNET från London. PGP-nyckel: AF40821B.
Fullständig biografi publicerad i Zero Day den 11 januari 2022 | Ämne: Säkerhet
En stor sårbarhet som tillåter fjärrkörning av kod har påverkat miljontals slutanvändares routerenheter.
På tisdagen publicerade SentinelOne en analys av buggen, spårad som CVE-2021-45388 och ansågs kritisk av forskargruppen.
Sårbarheten påverkar KCodes NetUSB-kärnmodul. KCodes-lösningar är licensierade av många hårdvaruleverantörer för att tillhandahålla USB över IP-funktionalitet i produkter inklusive routrar, skrivare och flashlagringsenheter.
KCodes NetUSB, föremål för en SEC Consult Vulnerability Lab-analys tidigare, är proprietär programvara som används för att underlätta dessa anslutningar – och programvaran “används för närvarande av ett stort antal leverantörer av nätverksenheter”, av vilka säkerhetsbristerna “påverkar miljontals slutanvändarrouterenheter”, enligt SentinelOne.
Forskaren Max Van Amerongen upptäckte felet när han undersökte en Netgear-enhet. Kärnmodulen, NetUSB, validerade inte storleken på paket som hämtades via fjärranslutningar, vilket möjliggjorde ett potentiellt heapbuffertspill.
Enligt Amerongen, även om en skadlig nyttolast skulle vara svår att skriva för att trigga CVE-2021-45388 på grund av kodningsbegränsningar, kan en exploatering resultera i fjärrexekvering av kod i kärnan.
SentinelOne säger att leverantörer inklusive Netgear, TP-Link, DLink och Western Digital licensierar programvaran, och alla är nu medvetna om säkerhetsbristen.
Forskarna avslöjade sina resultat för KCodes direkt den 9 september, eftersom det var mer meningsfullt att informera källan som sedan kunde distribuera en patch för alla snarare än att bara informera Netgear baserat på ett enda produkttest. En proof-of-concept-patch gjordes tillgänglig den 4 oktober och skickades till alla leverantörer den 17 november.
Firmware-uppdateringar, såsom de som beskrivs i informationen från Netgear, har antingen utfärdats eller är på gång.
I skrivande stund har ingen exploatering upptäckts i det vilda.
“Även om vi inte kommer att släppa några bedrifter för det, finns det en chans att en kan bli offentlig i framtiden trots den ganska betydande komplexiteten som är involverad i att utveckla en,” säger forskarna.
Tidigare och relaterad täckning
Ingen omstartsattack förfalskar iOS-telefonavstängning för att spionera på dig
Purple Fox rootkit upptäckt i skadliga Telegram-installatörer
JFrog-forskare hittar JNDI-sårbarhet i H2-databaskonsoler som liknar log4shell
Har du ett tips? Ta kontakt säkert via WhatsApp | Signalera på +447713 025 499, eller över på Keybase: charlie0
Säkerhets-TV | Datahantering | CXO | Datacenter