More

    Milioane de routere afectate de o vulnerabilitate de tip RCE

    În septembrie 2021, specialistul în securitate cibernetică Max Van Amerongen a identificat o vulnerabilitate de tip RCE (CVE-2021-45608) cu un grad mare de risc la nivelul modulului kernel NetUSB, dezvoltat de entitatea Kcodes (www.kcodes.com). NetUSB este regăsit în software-ul mai multor producători de echipamente de tip router: Netgear, TP-Link, Dlink, Western Digital, Tenda, Edimax.

    Modulul permite conectarea de la distanță la echipamemtele de tip router prin IP și accesarea dispozitivelor USB conectate la acestea (imprimante, boxe, camere web, stickuri USB și alte periferice). Acest lucru este posibil prin intermediul protocolului propietar NetUSB și a unui driver de kernel Linux, dispozitivele USB fiind astfel accesibile prin intermediul rețelei.

    Vulnerabilitatea de tip RCE este printre cele mai periculoase tipuri de vulnerabilități care permite unui atacator să ruleze de la distanță un cod rău inteționat în sistemul țintă, aflat în rețeaua locală sau pe internet. Accesul fizic la dispozitiv nu este necesar, iar exploatarea unei astfel de vulnerabilități poate conduce la pierderea controlului asupra sistemului și la furt de date sensibile.

    Potrivit articolului publicat de specialistul SentinelOne, Max Van Amerongen, atacatorii pot prelua de la distanță dispozitivul prin exploatarea unei vulnerabilități de pre-autentificare buffer overflow.

    Cine nu iubește o vulnerabilitate kernel ce poate fi exploatată de la distanță?”

    Van Amerongen a identificat modulul kernel NetUSB activ pe portul TCP 20005 și la adresa IP 0.0.0.0. În situația în care nu există reguli de firewall care să-l blocheze, modulul este accesibil pe WAN, cât și din cadrul LAN

    Deoarece acestă vulnerabilitate se află într-o componentă dezvoltată de o terță parte și licențiată către diverși furnizori de routere, singura modalitate de a remedia acest lucru este actualizarea firmware-ului routerului, dacă este disponibilă o astfel opțiune. Potrivit SentinelOne, în data de 04.10.2021, patch-ul a fost trimis tuturor companiilor ale căror produse sunt afectate, iar aceștia fie au remediat-o, fie sunt în curs de remediere. Din păcate, există echipamente active care, din perspectiva dezvoltatorilor, fac parte din categoria ”end of life” fiind puțin probabil ca acestea să primească o actualizare pentru vulnerabilitate.

    Concluzie

    Vulnerabilitatea este una critică și nu poate fi ignorată, iar realizarea unui exploit pentru aceasta este posibilă. Max Van Amerongen a subliniat că ”această vulnerabilitate afectează milioane de dispozitive din întreaga lume și, în unele cazuri, poate fi complet accesibilă de la distanță.

    Până la ora publicării articolului, SentinelOne nu a descoperit dovezi că vulnerabilitatea ar fi fost exploatată de persoane/ entități rău intenționate.

    În prezent, există aproape în fiecare locuință/ birou/ restaurant un echipament de tip router responsibil cu furnizarea accesului la internet, echipoament care pe parcursul duratei de exploatare, aproape sigur nu este actualizat. Acest lucru se concretizează în timp prin identificarea de vulnerabilități la nivelul acestuia care permit obținerea accesului la traficul de date gestionat și implicit la datele vehiculate în rețea, precum și la posibilitatea deturnării echipamntelor și transformării acestora în boți (TP-Link routers under attack from Dark.IoT botnet – 09.12.2021 – https://the record.media/tp-link-routers-under-attack-from-dark-iot-botnet/). Actualizarea firmware-ului unui echipament de tip router (și nu numai, în această categorie pot fi incluse toate echipamentele de tip IoT) comercializate să fie dotate cu capabilități de actualizare automată a firmware-ului care să presupună o interacțiune minimă a utilizatorului, iar perioada de exploatare pentru care furnizorii oferă suport să fie extinsă pe toata durata de viață a acestora.

    Ultimele articole

    Articole similare