SentinelLabs entdeckt schwerwiegende Sicherheitslücke in Millionen von Routern

Die Ausnutzung einer Schwachstelle im NetUSB-Kernel von KCodes erlaubt Remote-Codeausführung und Systemübernahme u.a. in zahlreichen Produkten von Netgear; ein Update-Patch ist vorhanden 

Die Forscher von SentinelLabs, der Research-Abteilung von SentinelOne, haben einen schwerwiegenden Sicherheitsmangel im KCodes NetUSB-Kernelmodul entdeckt, das von zahlreichen Netzwerkgeräteherstellern verwendet wird und Millionen von Endbenutzer-Routergeräten betrifft. Cyberkriminelle könnten diese Sicherheitslücke per Remotezugriff ausnutzen, um Code im Kernel ihres Ziels auszuführen. Dies kann es Angreifern ermöglichen, das System ihres Opfers zu übernehmen, Daten zu stehlen oder zu verschlüsseln und erheblichen Schaden anzurichten.

SentinelLabs hat seine Erkenntnisse zur Schwachstelle im September 2021 proaktiv an KCodes kommuniziert. Im Oktober wurde dann ein Update-Patch zur Behebung der Sicherheitslücke an die betroffenen Hersteller verschickt. Bei MITRE wird die Sicherheitslücke unter dem Kürzel CVE-2021-45608 geführt.

Details zur Schwachstelle und betroffene Hersteller

NetUSB ist ein von KCodes entwickeltes Produkt. Es wurde konzipiert, um Remote-Geräte in einem Netzwerk mit USB-Geräten interagieren zu lassen, die an einen Router angeschlossen sind. So kann beispielsweise mit einem Drucker interagiert werden, als wäre er direkt über USB an den Rechner angeschlossen. Dazu ist ein Treiber auf dem Computer erforderlich, der über dieses Kernelmodul mit dem Router kommuniziert.

Dieses Modul ist für eine Vielzahl von Herstellern zur Verwendung in ihren Produkten lizenziert, insbesondere für:

•  Netgear
•  TP-Link
•  Tenda
•  EDiMAX
•  DLink
•  Western Digital

Die Sicherheitslücke betrifft Millionen von Geräten auf der ganzen Welt und kann in einigen Fällen vollständig remote ausgeführt werden. Aufgrund der großen Anzahl von Anbietern, die von der Schwachstelle betroffen sind, haben die Forscher von SentinelLabs die Schwachstelle direkt an KCodes gemeldet, damit die Informationen an deren Lizenznehmer verteilt werden können. Dadurch wurde sichergestellt, dass alle Hersteller den Patch erhalten können.

Disclosure und Gegenmaßnahmen

Am 04. September haben die Forscher von SentinelLabs KCodes über die Existenz der Sicherheitslücke informiert und am 20. September wurden die vollständigen Details ihrer Untersuchung an KCodes kommuniziert. Im Oktober wurde ein Updatepatch von KCodes bereitgestellt, der an die betroffenen Anbieter verteilt wurde. Zusätzlich wurde die Verwendung der fehlerhaften Firmware eingestellt. Zum jetzigen Zeitpunkt hat SentinelOne keine Hinweise auf erfolgreiche Missbrauchsfälle des Protokolls durch Cyberkriminelle entdeckt.

Da diese Sicherheitslücke in einer Komponente eines Drittanbieters steckt, die für verschiedene Router-Hersteller lizenziert ist, besteht die einzige Möglichkeit zur Behebung darin, die Firmware des Routers zu aktualisieren, sofern ein Update verfügbar ist. Es ist wichtig, sicherzustellen, dass es sich bei dem verwendeten Router nicht um ein Auslaufmodell handelt, da es in diesem Fall unwahrscheinlich ist, dass er ein Update für diese Sicherheitslücke erhält.

Weitere technische Details zur Sicherheitslücke sowie Informationen zur Behebung des Problems finden Sie im vollständigen Bericht von SentinelLabs: https://s1.ai/netusb