Kritische Lücke gefährdet Millionen Router

21. Mai 2015, 09:39
8 Postings

Geräte mehrerer Hersteller betroffen - Angreifer können Code mit Kernel-Rechten ausführen

Die proprietäre Technologie eines einzelnen Softwareanbieters gefährdet nun die Router zahlreicher Hersteller. Der Sicherheitsdienstleister SEC Consult warnt vor einem schwerwiegenden Bug in NetUSB, von dem weltweit Millionen Geräte gefährdet sind.

Überlauf

Dabei handelt es sich um eine vom taiwanesischen Unternehmen KCodes entwickelte "USB over IP"-Funktionalität für Embedded Linux. Bei dem zugehörigen Treiber lässt sich ein Buffer Overflow auslösen, in Folge dessen beliebiger Code mit Kernel-Rechten ausgeführt werden kann. Dazu reicht es aus, von einem Rechner mit dem Router Kontakt aufzunehmen und dabei einen Rechnernamen anzugeben, der länger als 64 Zeichen ist.

Auswahl

Obwohl man das Problem zunächst in den Routern von TP-Link aufgespürt hat, sind von der Lücke doch noch zahlreiche andere Hersteller betroffen. Im Security Advisory verweist SEC Consult unter anderem auf Geräte von Netgear, Trendnet und Zyxel. Diese Liste erhebe aber keinen Anspruch auf Vollständigkeit, heißt es. Aufgrund von beim Treiber gefundenen Informationen gehe man davon aus, dass Geräte von insgesamt 26 Herstellern gefährdet sind - darunter auch D-Link und Western Digital.

Kommunikation

Die Versuche mit KCodes Kontakt aufzunehmen haben sich laut SEC Consult als schwierig herausgestellt. So hat der Hersteller einen angesetzten Konferenzanruf kurzfristig wieder abgesagt. Drei Monate nach der ersten Information macht man das Problem nun also in Koordination mit dem österreichischen und deutschen CERT öffentlich.

Updates

Trotz der schwierigen Kommunikationslage haben die ersten betroffenen Hersteller mittlerweile mit der Auslieferung von Updates begonnen. So gibt es für den TD-W8970 V3.0 und TD-W9980 V1.0 von TP-Link bereits neue Softwareversionen, die die Lücke bereinigen. Auch Archer hat für seinen VR200v eine Aktualisierung nachgereicht. Bei Zyxel verspricht man gegenüber heise, dass Updates "in Kürze" folgen sollen. (red, 21.5.2015)

  • Einer der wenigen betroffenen Router, für die es schon ein Update gibt: Der TD-W9980 von TP-Link.
    foto: tp-link

    Einer der wenigen betroffenen Router, für die es schon ein Update gibt: Der TD-W9980 von TP-Link.

Share if you care.