KCodes NetUSB漏洞正影響數百萬SOHO路由器

導 讀

近日，網絡安全公司SentinelOne的網絡安全研究人員在 KCodes NetUSB 組件中發現了一個嚴重漏洞 ( CVE-2021-45608 )，該漏洞存在于來自不同供應商的數百萬終端用戶路由器中，包括 Netgear、TP-Link、Tenda、EDiMAX、D-Link 和西部數據。

詳 情

NetUSB是通過開發的產品 KCodes以允許網絡中的遠程設備與連接到路由器的USB設備進行交互。用戶可以使用計算機上允許與網絡設備通信的驅動程序通過網絡與打印機或插入路由器的硬盤進行交互。

該漏洞是一個緩沖區溢出漏洞，遠程攻擊者可以利用該漏洞在內核中執行代碼并進行惡意活動。根據 SentinelOne 發布的報告，攻擊者可以通過端口 20005 向連接互聯網的路由器發送精心設計的命令。

在通過各種二進制文件通過各種路徑時，一個名為 NetUSB 的內核模塊。事實證明，該模塊正在偵聽 IP 0.0.0.0 上的 TCP 端口 20005。如果沒有防火墻規則來阻止它，那就意味著它正在偵聽 WAN 和 LAN。誰不喜歡遠程內核錯誤？

該漏洞是由 SentinelOne 研究員 Max Van Amerongen 發現的，他解釋說這個問題不容易被利用。利用這個問題。好消息是 SentinelOne 不知道有任何針對 CVE-2021-45388 的主動利用嘗試。

SentinelOne向 KCodes 報告了該問題，并于10月該公司發布了安全更新以解決此漏洞。

研究人員說，此漏洞影響全球數百萬臺設備，在某些情況下可能完全可以遠程訪問。由于受此漏洞影響的供應商數量眾多，我們直接將此漏洞報告給 KCodes，以便分發給他們的被許可人，而不是僅針對競賽中的 TP-Link 或 Netgear 設備。這可以確保所有供應商在比賽期間都收到補丁，而不是只有一個。雖然我們不會為此發布任何漏洞利用，但盡管開發一個漏洞涉及相當大的復雜性，但未來仍有可能公開。我們建議所有用戶遵循上述補救信息，以減少任何潛在風險。

不幸的是，無法知道哪些供應商已經應用了公司發布的安全更新。在編輯此文時，只有 Netgear 為其受影響的模型發布了安全更新。

早在2015年5月，來自 SEC咨詢漏洞實驗室的安全專家 Stefan Viehbock報告了一個嚴重漏洞 ( CVE-2015-3036 )，該漏洞可能影響數百萬使用 KCodes NetUSB 組件的路由器和物聯網設備。攻擊者可以利用 NetUSB 中的漏洞遠程劫持設備或造成拒絕服務攻擊。