Uma simples, mas chocante e perigosa vulnerabilidade foi descoberta no NetUSB componente, colocando Milhões de roteadores modernos e outros dispositivos espalhados em todo o mundo corre risco de ser comprometido por hackers.
A vulnerabilidade de segurança, atribuído CVE-2015-3036 , é um ser explorada remotamente pilha do kernel buffer overflow falha reside no sediada em Taiwan KCodes netusb .
NetUSB é um módulo do kernel Linux que permite aos usuários flash drives, impressoras e outros dispositivos de plug conectado por USB em seus roteadores para que eles possam ser acessados através da rede local.
fonte: google.com |
NetUSB componente é integrado roteadores modernos vendidos por alguns dos principais fabricantes, incluindo D-Link, Netgear, TP-Link, ZyXEL e TrendNet.
A falha de segurança, relatado por Stefan Viehbock da Áustria baseado no SEC Consult Vulnerability Lab, pode ser acionado quando um cliente envia o nome do computador para o servidor implantado no dispositivo de rede (porta 20005 TCP), a fim de estabelecer uma conexão.
No entanto, se um computador tiver o nome com mais 64 caracteres, um estouro de buffer de pilha ocorre no serviço netusb, resultando em corrupção de memória.
" Por causa de validação de entrada insuficiente, um nome do computador excessivamente longo pode ser usado para transbordar o nome do computador de pilha do kernel tampão, "uma terça-feira de consultoria estados. " Isso resulta em corrupção de memória que pode ser transformado em execução remota de código arbitrário [ou denial-of-]. "
Como é que a falha funciona?
SEC Consult realizou a sua análise do motorista netusb em um dispositivo TP-Link. A fim de estabelecer uma conexão com o servidor, a autenticação é necessária, com base em uma chave de criptografia AES.
No entanto, pesquisadores de segurança dizem que a autenticação é encontrado para ser inútil, porque a chave AES está presente tanto no driver de kernel, bem como no software cliente para Windows e OS X.
" Todo o código do servidor é executado no modo kernel, por isso este é um buffer overflow "rara" remoto pilha do kernel ", os pesquisadores afirmam em um post de blog na terça-feira.O que é ainda pior?
Como o código de serviço netusb é executado no modo kernel, hackers dentro da rede local pode facilmente explorar essa vulnerabilidade para obter capacidade de executar remotamente código malicioso no nível do kernel, que é o coração de funções de computação dos roteadores.
Isto significa simplesmente que um invasor poderia afetar os dispositivos com o privilégio mais alto possível. Hackers poderiam executar um ataque a qualquer falha do aparelho rodando o módulo do kernel ou comprometer um router para instalar malware e spyware em seus proprietários.
Vendedores afetados:
Com base em dados incorporados em KCodes netusb motorista, pesquisadores de segurança da SEC Consult acredito que a seguir estão entre os fabricantes que são afetados pela vulnerabilidade de estouro de buffer de pilha do kernel:
ALLNET, Ambir Technology, AMIT, Asante, Atlantis, Corega, Digitus, D-Link, Edimax, Encore Electronics, EnGenius, HawkingTechnology, IOGEAR, LevelOne, LONGSHINE, NETGEAR, PCI, PROLiNK, Sitecom, TP-LINK, TRENDnet, Western Digital , e ZyXEL
Vendedores de resposta:
SEC Consult KCodes contatou um número de vezes em fevereiro e março com detalhes sobre a vulnerabilidade e código de prova de conceito, mas um patch não foi disponibilizado.
A empresa de segurança mais tarde contactado TP-Link e NetGear, bem como as CERT antes de fazer uma divulgação pública da vulnerabilidade.
Até agora, apenas a TP-Link dirigida a vulnerabilidade e forneceu uma correção para a vulnerabilidade grave netusb e manchas marcadas para cerca de 40 produtos. NetGear ainda não divulgou um patch.
No entanto, outros fornecedores ainda têm de responder à questão de segurança.
Como para mitigar o problema:
De acordo com a SEC Consult, o recurso netusb foi habilitado em todos os dispositivos verificados, eo serviço ainda estava funcionando mesmo quando nenhum dispositivo USB foram conectados.
Isto significa simplesmente o recurso está provavelmente ligada a menos que um usuário muda-la manualmente.
Em alguns dispositivos, é possível para os usuários desativar o recurso da interface de administração baseada na Web, e bloquear o acesso a porta 20005 usando um firewall. No entanto, para alguns dispositivos, isto não é possível.
" Pelo menos em dispositivos NETGEAR isso não atenuar a vulnerabilidade, "diz o post. " NETGEAR nos disse, que não há nenhuma solução alternativa disponível, a porta TCP não pode ser um firewall nem há uma maneira de desativar o serviço em seus dispositivos. "
Você deve manter-se atento para os patches também e atualizar seus dispositivos, assim que os patches são disponibilizados a fim de evitar qualquer possibilidade de exploits netusb
0 comentários:
Postar um comentário
Leia as regras:
São publicados aqueles que respeitam as regras abaixo:
- Seu comentário precisa ter relação com o assunto do post;
- Não inclua links desnecessários no conteúdo do seu comentário;
- Se quiser deixar sua URL, comente usando a opção OpenID;
- O espaço dos comentários não é lugar para pedir parceria;
- CAIXA ALTA, miguxês ou erros de ortografia não serão tolerados;
- Ofensas pessoais, ameaças e xingamentos não são permitidos;
- CAIXA ALTA somente para siglas.