Брешь в ядре
Уязвимость в библиотеке NetUSB ставит под угрозу миллионы роутеров популярных производителей. Выявившие эту уязвимость эксперты компании Sentinel Labs оценили ее как высокоопасную, хотя и не критическую.
NetUSB — компонент ядра Linux, разработанный компанией Kcodes. Он позволяет USB-устройствам, подключенным непосредственно к роутеру, взаимодействовать с сетевыми устройствами в локальной сети.
«Например, вы можете взаимодействовать с сетевым принтером так, будто он подключен непосредственно к вашему компьютеру по USB. Для этого потребуется драйвер на компьютере, который обеспечит взаимодействие с роутером через данный модуль ядра», — написал эксперт Sentinel Labs Макс Ван Амеронген (Max Van Amerongen).
Библиотека была разработана в начале 2010-х годов. KCodes лицензировала ее таким производителям роутеров как Netgear, TP-Link, Tenda, EDiMAX, D-Link и Western Digital.
Лишние вызовы
Проблема этой библиотеки заключается в том, что она «слушает» вызовы от USB-устройств, поступающие не только из внутренней сети, но и с внешнего интерфейса, подключаемого к интернету. Исследователи выяснили, что направив специально подготовленную команду на TCP-порт 20005 роутера, использующего библиотеку NetUSB, можно вызвать ошибку целочисленного переполнения и, как следствие, запустить произвольный код на уровне ядра операционной системы. Фактически это означает перехват контроля над устройством.
Баг в библиотеке NetUSB угрожает миллионам роутеров
По мнению Ван Амеронгена, создание эксплойта потребует довольно высокого уровня технологической подготовки, однако как только такой эксплойт окажется в общем доступе, волны атак долго ждать не придется.
Пока, впрочем, никаких попыток эксплуатировать обнаруженную уязвимость (ей присвоен индекс CVE-2021-45388) не наблюдается.
Обновления ПО
Представители SentinelLabs передали информацию об уязвимости в KCodes в сентябре 2021 г. В ноябре KCodes разослала патчи конечным производителям роутеров и сообщила, что обновления к прошивкам должны будут поступить до 20 декабря.
Что такое геокластер и чем он может быть полезен владельцам бизнеса Бизнес
Однако, по данным издания TheRecord, пока только Netgear официально признала наличие проблемы в своих устройствах, опубликовала их список и ссылки на соответствующие обновления программных оболочек.
Другие вендоры не торопятся это делать; пользователям роутеров с USB-портами рекомендуется вручную проверить наличие обновления прошивок и установить их, если возможно.
«Роутеры, как и многие другие IoT-устройства, смело можно относить к наиболее уязвимым и одновременно игнорируемым элементам локальных сетей, хотя как раз за ними следовало бы приглядывать с особым вниманием, — говорит Алексей Водясов, технический директор компании SEQ. — Любая серьезная уязвимость в программной оболочке роутера открывает потенциальным злоумышленникам доступ ко многим, если не всем, ресурсам локальной сети, а такие уязвимости обнаруживаются часто, чтобы не сказать, регулярно. И, к сожалению, обновление роутеров пользователи осуществляют не слишком часто».
Никакой экзотики
Эксперты SentinelLabs в декабре 2021 г. обнаружили также уязвимости в библиотеке EltimaSDK, используемой множественными облачными провайдерами для обеспечения сетевого доступа к USB-устройствам.
Технологии успешного SOC: детектирование атак и создание правил корреляции Безопасность
В свою очередь, в 2019 г. фирма Eclypsium обнаружила уязвимость в сетевом USB-компоненте в контроллерах управления материнской платой Supermicro, используемых в barebone-серверах во множестве дата-центров по всему миру.
Таким образом, подобные уязвимости нельзя назвать экзотикой, даже если их эксплуатация не всегда оказывается тривиальной задачей.
