Miljoenen routers van verschillende leveranciers zijn kwetsbaar door een beveiligingslek in de NetUSB-kernelmodule van fabrikant KCodes en in sommige gevallen kan erop afstand misbruik van worden gemaakt. Dat stelt securitybedrijf SentinelOne dat het probleem ontdekte. Via NetUSB is het mogelijk om op een router aangesloten usb-apparaten, zoals een printer of externe harde schijf, vanaf andere apparaten op het netwerk te bedienen.
De kernelmodule luistert op tcp-poort 20005 op ip-adres 0.0.0.0. Wanneer een firewall dit niet blokkeert is de module zowel vanaf het LAN als het WAN toegankelijk. Door het versturen van data naar de module is het mogelijk om een buffer overflow te veroorzaken, wat tot remote code execution in de kernel kan leiden. Daarbij is het niet nodig voor de aanvaller om zich eerst op de router te authenticeren.
Een groot aantal fabrikanten maakt gebruik van NetUSB, waaronder Netgear, TP-Link, Tenda, EDiMAX, DLink en Western Digital. KCodes werd op 20 september vorig jaar over de kwetsbaarheid ingelicht. Op 19 november liet het bedrijf weten dat het een update naar alle leveranciers had gestuurd. Gebruikers zijn echter van hun routerfabrikant afhankelijk voor updates.
De onderzoekers van SentinelOne stellen dat het ontwikkelen van een exploit voor het beveiligingslek vrij complex is. Routerfabrikant Netgear heeft de impact van de kwetsbaarheid op een schaal van 1 tot en met 10 met een 6,5 beoordeeld. Een aantal jaar geleden werd er ook een lek in NetUSB ontdekt waardoor een buffer overflow mogelijk was.
Deze posting is gelocked. Reageren is niet meer mogelijk.