L'error KCodes NetUSB exposa milions d'encaminadors als atacs RCE


Al mòdul del nucli KCodes NetUSB s'ha descobert un defecte greu d'execució de codi remot, identificat com a CVE-2021-45388, i és utilitzat per milions de dispositius d'encaminador de diversos proveïdors.

L'explotació d'aquesta fallada permetria que un actor remot d'amenaces executés codi al nucli i, tot i que s'apliquen algunes restriccions, l'impacte és gran i podria ser greu.

El descobriment de la vulnerabilitat prové dels investigadors de SentinelLabs que van compartir el seu llibre blanc amb Bleeping Computer abans de la publicació.



Què és NetUSB i com s'aborda

Alguns fabricants d'encaminadors inclouen ports USB als dispositius, cosa que permet als usuaris compartir impressores i unitats USB a la xarxa.

NetUSB és una solució de connectivitat del mòdul del nucli desenvolupada per KCodes, que permet als dispositius remots d'una xarxa interactuar amb dispositius USB connectats directament a un encaminador.

Diagrama de funcionament de NetUSB

Diagrama de funcionament de NetUSB
Font: KCodes

SentinelOne va descobrir un segment de codi vulnerable al mòdul del nucli que no valida el valor de mida d'una trucada d'assignació de memòria del nucli, donant lloc a un desbordament d'enters.

La funció 'SoftwareBus_fillBuf' pot utilitzar aquesta nova regió per escriure de manera maliciosa fora dels límits amb dades d'un sòcol de xarxa sota el control de l'atacant.

Algunes limitacions poden dificultar l'explotació de la vulnerabilitat, tal com es descriu a continuació.

  • L'objecte assignat sempre estarà a la llosa kmalloc-32 del munt del nucli. Per tant, l'estructura ha de tenir una mida inferior a 32 bytes per adaptar-se.
  • La mida proporcionada només s'utilitza com a mida màxima de recepció i no com a quantitat estricta.
  • L'estructura ha de ser polvoritzable des d'una perspectiva remota.
  • L'estructura ha de tenir alguna cosa anul·lable que la faci útil com a objectiu (com ara una estructura Type-Length-Value o un punter).

Tanmateix, el vulnerable mòdul NetUSB té un temps d'espera de setze segons per rebre una sol·licitud, cosa que permet més flexibilitat a l'hora d'explotar un dispositiu.

'Tot i que aquestes restriccions dificulten l'escriptura d'un exploit per a aquesta vulnerabilitat, creiem que no és impossible i, per tant, és possible que els que tinguin encaminadors Wi-Fi hagin de comprovar si hi ha actualitzacions de microprogramari per al seu encaminador, va advertir SentinelOne en el seu informe.

Proveïdors i pegats afectats

Els venedors d'encaminadors que utilitzen mòduls NetUSB són vulnerables Netgear , enllaç tp , Cortina , EDiMAX , enllaç , I oest digital .

No està clar quins models es veuen afectats per CVE-2021-45388, però generalment es recomana que utilitzeu productes compatibles de manera activa que rebin actualitzacions de microprogramari de seguretat periòdiques.

Com que la vulnerabilitat afecta tants venedors, Sentinel One va notificar per primera vegada KCodes el 9 de setembre de 2021 i va proporcionar un script de prova de concepte (PoC) el 4 d'octubre de 2021 per verificar el pedaç llançat aquell dia.

Els venedors es van contactar al novembre i es va programar una actualització del firmware per al 20 de desembre de 2021.

Netgear va publicar una actualització de seguretat per aplicar el pegat CVE-2021-45388 als productes afectats i compatibles el 14 de desembre de 2021.

Segons l'avís de seguretat publicat el 20 de desembre de 2021, els productes Netgear afectats són els següents:

    D7800arreglat a la versió de firmware 1.0.1.68 R6400v2arreglat a la versió de firmware 1.0.4.122 R6700v3arreglat a la versió de firmware 1.0.4.122

La solució implementada per Netgear va ser afegir un nou control de mida a la funció 'mida proporcionada', evitant l'escriptura fora dels límits.

Correcció aplicada per Netgear

Correcció aplicada per Netgear
Font: SentinelLabs

Bleeping Computer s'ha posat en contacte amb tots els venedors interessats per fer comentaris sobre la cronologia d'un llançament d'actualització de microprogramari, però encara no ens hem escoltat.

Què penses?