News

Detaillierte Beschreibung eines ungepatchten Bugs in KCodes NetUSB veröffentlicht

Das vom US-Ministerium für Innere Sicherheit gesponserte CERT, an der Carnegie Mellon University hat eine Warnmitteilung über eine gefährliche Sicherheitslücke in KCode NetUSB herausgegeben, einem Programmmodul, das in Netzwerkprodukte integriert ist, die von einer Reihe von Anbietern verkauft werden.

KCodes NetUSB ist ein Linux Kernel-Modul, das es mehreren Nutzern eines lokalen Netzwerkes ermöglicht, gemeinsam USB-Geräte über IP zu verwenden. Die von Stefan Viehbock von SEC Consult Vulnerability Lab beschriebene Sicherheitslücke kann durch die Herausgabe einer neuen Firmware-Version geschlossen werden. Laut Angaben von SEC Consult hat zum gegenwärtigen Zeitpunkt lediglich TP-Link ein Fix bereitgestellt und einen Update-Zeitplan für 40 seiner Produkte erstellt. Es ist nicht bekannt, ob die Sicherheitslücke in Produkten von Cisco, D-Link, Linksys, TrendNet und anderen Unternehmen vorhanden ist.

„Ein nicht authentifizierter Hacker im lokalen Netz kann einen Pufferüberlauf verursachen, der eine Dienstverweigerung oder entfernte Codeausführung zur Folge haben kann“, heißt es in der Mitteilung, die den von Viehbock herausgegebenen Bericht umformuliert. „Die voreingestellte Konfiguration einiger Geräte kann ebenfalls entfernte Attacken ermöglichen.“

Die Sicherheitslücke CVE-2015-3036 ist ein Pufferüberlauf, der es einem Cyberkriminellen ermöglichen kann, entweder ein Gerät mit diesem Kernel-Modul zum Absturz zu bringen oder, in einigen Fällen, aus der Ferne Code auszuführen.

„Die Computer Client-Daten, die bei einer Verbindung mit dem NetUSB-Server übermittelt werden, werden von dem Treiber vor der Verarbeitung nicht korrekt validiert“, heißt es in der Mitteilung des CERT, die sich auf Viehbock bezieht.

Viehbock, der für seinen im Jahr 2011 veröffentlichten Artikel mit dem Titel „Brute Forcing Wi-Fi Protected Setup“ bekannt ist, liefert Proof-of-Concept-Code in einer von SEC Consult veröffentlichten Infoschrift.

„NetUSB leidet unter einem entfernt ausnutzbaren Kernel-Stacks-Pufferüberlauf. Aufgrund einer unzureichenden Validierung der eingehenden Daten kann ein ungewöhnlich langer Computername zum Überlauf des Kernel-Stack-Puffers „computer name“ führen“, schreibt Viehbock. „Das verursacht eine Beschädigung des Speichers, die im entfernten Ausführen willkürlichen Codes resultieren kann.“

Allerdings wird in der Mitteilung des CERT/CC darauf hingewiesen, dass das Team die Existenz dieses Problems in KCodes nicht nachweisen konnte. Doch SEC Consult teilte mit, dass die Sicherheitslücke in TP-Link TL-WDR4300 V1, TP-Link WR1043ND V2 und Netgear WNDR4500 gefunden wurde. Die Mitteilung enthält zudem eine lange Liste von Geräten der Hersteller D-Link, Netgear, TP-Link, TrendNet und Zyxel, die KCodes NetUSB enthalten, zusammen mit Namen von Anbietern, deren Produkte integrierte KCodes-Treiber verwenden.

„Manchmal ist es möglich, NetUSB im Webinterface zu deaktivieren, doch zumindest in den Geräten von NETGEAR schützt das nicht vor der Sicherheitslücke“, erklärte Viehbock bezüglich einer Methode zur Umgehung der Schachstelle. „NETGEAR erklärte uns, dass es keine Möglichkeit gebe, die Sicherheitslücke zu umgehen, der TCP-Port kann nicht von der Firewall geschlossen werden und es ist auch nicht möglich, diesen Dienst auf ihren Geräten zu deaktivieren.“

SEC Consult erklärte, dass das Unternehmen eine eigene Analyse des Treibers NetUSB auf einem Gerät von TP-Link durchgeführt habe. Zu dem Pufferüberlauf gesellt sich laut Aussage der Forscher das Problem, dass sich auch die gegenseitige Authentifizierung als sinnlos erweist, da der zur Überprüfung verwendete AES-Schlüssel statisch ist und im Kernel-Treiber und der Client-Software für Windows und OS X zu finden ist.

„Während der Verbindungsinitialisierung verschickt der Client den Namen seines Computers. Und da wird es interessant: Der Client kann die Länge des Computernamens bestimmen. Wird ein Computername angegeben, der länger ist als 64 Zeichen, läuft der Stackpuffer bei Erhalt des Computernamens aus dem Socket über“, erklärte SEC-Consult. „Leichter geht’s nicht, die 90er melden sich zu Wort und fordern ihre Sicherheitslücke zurück, wie z.B. den Überlauf des Stackpuffers. Der gesamte Server-Code wird im Kernelmodus ausgeführt, so dass es sich um einen „seltenen“ entfernten Überlauf des Kernel-Stackpuffers handelt.“

Die Forscher erklärten, sie haben sich im Februar mit KCodes in Verbindung gesetzt und ihnen Details zu der Sicherheitslücke und den Proof-of-Concept-Code übermittelt, seien aber ignoriert worden.

Quelle: Threatpost

Detaillierte Beschreibung eines ungepatchten Bugs in KCodes NetUSB veröffentlicht

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach