Charlie Osborne er en cybersikkerhetsjournalist og fotograf som skriver for ZDNet og CNET fra London. PGP-nøkkel: AF40821B.
Full Bio Publisert i Zero Day 11. januar 2022 | Emne: Sikkerhet
Et omfattende sikkerhetsproblem som gjør at ekstern kjøring av kode kan finne sted, har påvirket millioner av sluttbrukerruterenheter.
Tirsdag publiserte SentinelOne en analyse av feilen, sporet som CVE-2021-45388 og ansett som kritisk av forskerteamet.
Sårbarheten påvirker KCodes NetUSB-kjernemodul. KCodes-løsninger er lisensiert av en rekke maskinvareleverandører for å tilby USB over IP-funksjonalitet i produkter inkludert rutere, skrivere og flash-lagringsenheter.
KCodes NetUSB, gjenstand for en SEC Consult Vulnerability Lab-analyse i det siste, er proprietær programvare som brukes for å lette disse tilkoblingene – og programvaren brukes for tiden av et stort antall leverandører av nettverksenheter, hvorav sikkerhetsfeilene “påvirker millioner av sluttbrukerruterenheter,” ifølge SentinelOne.
Forsker Max Van Amerongen oppdaget feilen mens han undersøkte en Netgear-enhet. Kjernemodulen, NetUSB, validerte ikke størrelsen på pakker som ble hentet via eksterne tilkoblinger på riktig måte, noe som muliggjorde en potensiell heapbufferoverflyt.
Ifølge Amerongen, selv om en ondsinnet nyttelast ville være vanskelig å skrive for å utløse CVE-2021-45388 på grunn av kodebegrensninger, kan en utnyttelse resultere i fjernutførelse av kode i kjernen.
SentinelOne sier at leverandører inkludert Netgear, TP-Link, DLink og Western Digital lisensierer programvaren, og alle er nå klar over sikkerhetsfeilen.
Forskerne avslørte funnene sine direkte til KCodes 9. september, da det var mer fornuftig å informere kilden som deretter kunne distribuere en oppdatering for alle i stedet for bare å informere Netgear basert på en enkelt produkttest. En proof-of-concept-oppdatering ble gjort tilgjengelig 4. oktober og ble sendt til alle leverandører 17. november.
Firmware-oppdateringer, slik som de som er beskrevet i veiledningen utstedt av Netgear, har enten blitt utstedt eller er i gang.
I skrivende stund er det ikke oppdaget noen utnyttelse i naturen.
“Selv om vi ikke kommer til å frigi noen utnyttelser for det, er det en sjanse for at en kan bli offentlig i fremtiden til tross for den ganske betydelige kompleksiteten som er involvert i å utvikle en,” sier forskerne.
Tidligere og relatert dekning
NoReboot-angrep forfalsker avslutning av iOS-telefon for å spionere på deg
Purple Fox rootkit oppdaget i ondsinnede Telegram-installatører
JFrog-forskere finner JNDI-sårbarhet i H2-databasekonsoller som ligner på log4shell
Har du et tips? Ta kontakt sikkert via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Security TV | Databehandling | CXO | Datasentre