Detaillierte Beschreibung eines ungepatchten Bugs in KCodes NetUSB veröffentlicht

Das vom US-Ministerium für Innere Sicherheit gesponserte CERT, an der Carnegie Mellon University hat eine Warnmitteilung über eine gefährliche Sicherheitslücke in KCode NetUSB herausgegeben, einem Programmmodul, das in Netzwerkprodukte integriert ist, die von einer Reihe von Anbietern verkauft werden.

KCodes NetUSB ist ein Linux Kernel-Modul, das es mehreren Nutzern eines lokalen Netzwerkes ermöglicht, gemeinsam USB-Geräte über IP zu verwenden. Die von Stefan Viehbock von SEC Consult Vulnerability Lab beschriebene Sicherheitslücke kann durch die Herausgabe einer neuen Firmware-Version geschlossen werden. Laut Angaben von SEC Consult hat zum gegenwärtigen Zeitpunkt lediglich TP-Link ein Fix bereitgestellt und einen Update-Zeitplan für 40 seiner Produkte erstellt. Es ist nicht bekannt, ob die Sicherheitslücke in Produkten von Cisco, D-Link, Linksys, TrendNet und anderen Unternehmen vorhanden ist.

„Ein nicht authentifizierter Hacker im lokalen Netz kann einen Pufferüberlauf verursachen, der eine Dienstverweigerung oder entfernte Codeausführung zur Folge haben kann“, heißt es in der Mitteilung, die den von Viehbock herausgegebenen Bericht umformuliert. „Die voreingestellte Konfiguration einiger Geräte kann ebenfalls entfernte Attacken ermöglichen.“

Die Sicherheitslücke CVE-2015-3036 ist ein Pufferüberlauf, der es einem Cyberkriminellen ermöglichen kann, entweder ein Gerät mit diesem Kernel-Modul zum Absturz zu bringen oder, in einigen Fällen, aus der Ferne Code auszuführen.

„Die Computer Client-Daten, die bei einer Verbindung mit dem NetUSB-Server übermittelt werden, werden von dem Treiber vor der Verarbeitung nicht korrekt validiert“, heißt es in der Mitteilung des CERT, die sich auf Viehbock bezieht.

Viehbock, der für seinen im Jahr 2011 veröffentlichten Artikel mit dem Titel „Brute Forcing Wi-Fi Protected Setup“ bekannt ist, liefert Proof-of-Concept-Code in einer von SEC Consult veröffentlichten Infoschrift.

„NetUSB leidet unter einem entfernt ausnutzbaren Kernel-Stacks-Pufferüberlauf. Aufgrund einer unzureichenden Validierung der eingehenden Daten kann ein ungewöhnlich langer Computername zum Überlauf des Kernel-Stack-Puffers „computer name“ führen“, schreibt Viehbock. „Das verursacht eine Beschädigung des Speichers, die im entfernten Ausführen willkürlichen Codes resultieren kann.“

Allerdings wird in der Mitteilung des CERT/CC darauf hingewiesen, dass das Team die Existenz dieses Problems in KCodes nicht nachweisen konnte. Doch SEC Consult teilte mit, dass die Sicherheitslücke in TP-Link TL-WDR4300 V1, TP-Link WR1043ND V2 und Netgear WNDR4500 gefunden wurde. Die Mitteilung enthält zudem eine lange Liste von Geräten der Hersteller D-Link, Netgear, TP-Link, TrendNet und Zyxel, die KCodes NetUSB enthalten, zusammen mit Namen von Anbietern, deren Produkte integrierte KCodes-Treiber verwenden.

„Manchmal ist es möglich, NetUSB im Webinterface zu deaktivieren, doch zumindest in den Geräten von NETGEAR schützt das nicht vor der Sicherheitslücke“, erklärte Viehbock bezüglich einer Methode zur Umgehung der Schachstelle. „NETGEAR erklärte uns, dass es keine Möglichkeit gebe, die Sicherheitslücke zu umgehen, der TCP-Port kann nicht von der Firewall geschlossen werden und es ist auch nicht möglich, diesen Dienst auf ihren Geräten zu deaktivieren.“

SEC Consult erklärte, dass das Unternehmen eine eigene Analyse des Treibers NetUSB auf einem Gerät von TP-Link durchgeführt habe. Zu dem Pufferüberlauf gesellt sich laut Aussage der Forscher das Problem, dass sich auch die gegenseitige Authentifizierung als sinnlos erweist, da der zur Überprüfung verwendete AES-Schlüssel statisch ist und im Kernel-Treiber und der Client-Software für Windows und OS X zu finden ist.

„Während der Verbindungsinitialisierung verschickt der Client den Namen seines Computers. Und da wird es interessant: Der Client kann die Länge des Computernamens bestimmen. Wird ein Computername angegeben, der länger ist als 64 Zeichen, läuft der Stackpuffer bei Erhalt des Computernamens aus dem Socket über“, erklärte SEC-Consult. „Leichter geht’s nicht, die 90er melden sich zu Wort und fordern ihre Sicherheitslücke zurück, wie z.B. den Überlauf des Stackpuffers. Der gesamte Server-Code wird im Kernelmodus ausgeführt, so dass es sich um einen „seltenen“ entfernten Überlauf des Kernel-Stackpuffers handelt.“

Die Forscher erklärten, sie haben sich im Februar mit KCodes in Verbindung gesetzt und ihnen Details zu der Sicherheitslücke und den Proof-of-Concept-Code übermittelt, seien aber ignoriert worden.

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.