Eine Schwachstelle in einer Softwarekomponente, die in eine große Anzahl von Routern und vernetzten Geräten integriert ist, könnte aus der Ferne ausgenutzt werden und potenziell Millionen von Routern gefährden, erklärte die Sicherheitsfirma SentinelOne in einer Stellungnahme vom 11. Januar.
Der Softwarefehler tritt in einem Kernelmodul auf, das vom Drittanbieter-Softwareentwickler KCodes verkauft wird. Es wird in vielen verbundenen Produkten verwendet, um USB-Konnektivität über das Netzwerk zu ermöglichen. Router von Netgear, D-Link, Western Digital und anderen Firmen haben sich alle als anfällig für die Ausnutzung des Fehlers erwiesen, sagt Max Van Amerongen, der Schwachstellenforscher bei SentinelOne, der das Problem entdeckt hat.
Während es recht einfach ist, die Schwachstelle auszunutzen, um eine Kernel-Panik auszulösen, ist die Remote-Ausführung viel schwieriger, sagt er.
„Wenn Sie nur einen Denial-of-Service durchführen wollten, ist es so ziemlich ein einzelnes Paket – oder ein paar Pakete – und Sie sind fertig“, sagt er. „In Bezug auf die Codeausführung ist es viel komplizierter, insbesondere weil es sich nicht um eine Stack-Sicherheitslücke, sondern um eine Heap-Sicherheitslücke handelt, was bedeutet, dass viel mehr Komponenten daran beteiligt sind, die Codeausführung zum Laufen zu bringen.“
Schwachstellen in Heim- und Kleinunternehmen-Routern sind notorisch schädliche Cybersicherheitsprobleme. Während ein Fehler identifiziert und neue Software vom Hersteller bereitgestellt werden kann, ist es unwahrscheinlich, dass die meisten Heimanwender und kleinere Unternehmen patchen. In einer Umfrage unter den Routern eines Herstellers blieben beispielsweise mehr als 300,000 anfällig für Angriffe mit einjährigen Fehlern das war schon gepatcht. In einer Studie aus dem Jahr 2018 stellte das Center for Citizen Research des American Consumer Institute fest, dass 155 von 186 untersuchten Routern (83 %) bekannte Schwachstellen aufwiesen.
SentinelOne hat dieses Problem im September identifiziert, bestätigt, dass KCodes im Oktober einen Patch veröffentlicht hat, und bestätigt, dass Netgear im Dezember Firmware veröffentlicht hat, um seine Geräte zu reparieren eine Timeline in der Unternehmensberatung. Trotzdem wird es ein Problem sein, Benutzer dazu zu bringen, den Patch anzuwenden, sagt Van Amerongen.
„Ich sehe nicht viele Anbieter, die automatische Patches für Heimanwender durchführen, daher wird es ein großes Problem sein, dieses Problem zu beheben“, sagt er. „Sie sagten, sie hätten dies an alle anderen Anbieter weitergegeben, also müssen wir sie wirklich beim Wort nehmen, dass alle diese Anbieter einen Patch haben.“
Van Amerongen fand den Fehler, nachdem er sich entschieden hatte, Netgear-Router auf potenzielle Probleme zu untersuchen, um sie beim jährlichen Pwn2Own-Wettbewerb einzureichen. Die NetUSB-Komponente von KCodes ermöglicht einem Computer die Verbindung mit einem Drucker über das USB-Protokoll, jedoch durch Senden des Datenverkehrs über das Netzwerk und nicht über ein direktes Kabel. Der Exploit versucht, den Heap zu überlaufen, um die Ausführung zu erreichen, aber der Prozess ist komplex, sagt er. Heap-Überläufe sind viel weniger zuverlässig als Stapelüberläufe.
Da Router jedoch mit dem Internet verbunden sind, kann der Angriff aus der Ferne durchgeführt werden. Darüber hinaus können auch WLAN-Router mit dem KCode NetUSB-Modul anfällig sein.
„Wir veröffentlichen ausdrücklich keinen Exploit-Code, um es nicht einfach zu machen“, sagt Van Amerongen. „Die Nutzung über das Internet ohne Feedback ist ziemlich kompliziert. Ich kann mir also nicht vorstellen, dass Ihr durchschnittlicher Cyberkrimineller dies verwendet, zumindest nicht in naher Zukunft.“
Die Schwachstelle ähnelt einem Fehler in einer Netzwerkvirtualisierungsbibliothek, die von Eltima erstellt wurde und von Amazon und anderen Unternehmen verwendet wird. Die Eltima-Sicherheitslücke, die SentinelOne im Dezember angekündigt, kommt im Software Development Kit (SDK) für virtuelle Netzwerke vor, wodurch USB in der Cloud genutzt werden kann.
Es ist wichtig zu beachten, dass diese Probleme nicht miteinander zusammenhängen und völlig unterschiedliche Produkte betreffen, sagt Van Amerongen.
„Ich hatte keine Ahnung, dass mein Teamkollege an dem Problem arbeitet“, sagt er. „Als ich dann sah, dass wir beide Netzwerk-USB-Dinge machten, war das eine kleine Überraschung.“
Ein Problem, das Netgear am 20. Dezember in seinen drahtlosen Routern D7800, R6400 und R6700 gepatcht hat, ist die Schwachstelle, die in SentinelOnes Empfehlung vom 11. Januar beschrieben wird, teilte die Sicherheitsfirma mit. Während die Netgear-Empfehlung besagt, dass der Patch eine „Sicherheitslücke durch Pufferüberlauf vor der Authentifizierung“ behebt, verweist er nicht speziell auf die Kennung für den Fehler CVE-2021-45388.
SentinelOne erklärte, dass es seinen Exploit-Code nicht veröffentlichen werde, warnte jedoch davor, dass andere Forscher und Cyberangriffe wahrscheinlich in der Lage sein werden, das Problem zu identifizieren.
„Da sich diese Schwachstelle in einer Drittanbieterkomponente befindet, die an verschiedene Router-Hersteller lizenziert ist, besteht die einzige Möglichkeit, dies zu beheben, darin, die Firmware Ihres Routers zu aktualisieren, falls ein Update verfügbar ist“, erklärte das Unternehmen in seiner Empfehlung. "Es ist wichtig zu überprüfen, ob Ihr Router kein End-of-Life-Modell ist, da es unwahrscheinlich ist, dass er ein Update für diese Sicherheitsanfälligkeit erhält."
