Su milioni di router e dispositivi embedded è stata individuata una vulnerabilità che potrebbe consentire a hacker malintenzionati di comprometterne il funzionamento. La vulnerabilità ha a che fare con un NetUSB, una modalità che permette alla porta USB dei dispositivi in questione di fungere da porta USB virtuale di uno dei computer in rete e condividere stampanti, webcam, “chiavette”, dischi esterni, ecc.
NetUSB è implementato nei sistemi embedded con integrato Linux, quali ad esempio i router, come un driver del kernel. Il driver è sviluppato dalla taiwanese KCodes Technology; quando attivato, il server attiva l’ascolto della porta TCP 20005 per i client connessi.
Ricercatori di Sec Consult, società specializzata in sicurezza, hanno rilevato che se il computer che si connette ha un nome più lungo di 64 caratteri, avviene uno stack overflow (un errore che si verifica quando si sfrutta una quantità troppo elevata di memoria nello stack), una vulnerabilità che potrebbe essere sfruttata per consentire l’esecuzione in remoto di codice o generare malfunzionamenti del tipo denial of service (un attacco che consiste nel esaurire deliberatamente le risorse di un sistema).
Poiché il servizio NetUSB è avviato in kernel mode, l’attacker che sfrutta la falla è in grado di eseguire codice malevolo co il quale influenzare in vari modi il funzionamento dei dispositivi attaccati sfruttando il più alto livello di privilegi possibile. Molti vendor integrano NetUSB nei vari prodotti commercializzati, anche se il servizio è chiamato in modo diverso. Netgear, ad esempio, chiama questa funzione “ReadySHARE”, altri usano nomi ancora diversi quali “print sharing”, “condivisione porta USB” e simili.
Sec Consult ha confermato la presenza della vulnerabilità nei router TP-Link TL-WDR4300 V1, TP-Link WR1043ND v2 e Netgear WNDR4500; scansionando ad ogni modo il firmware di altri produttori alla ricerca del driver NetUSB.ko ritengono di aver individuato almeno 92 dispositivi con lo stesso problema prodotti da D-Link, Netgear, TP-Link, Trendnet e ZyXEL Communications. I ricercatori hanno individuato il riferimento a 26 vendor nel driver per client NetUSB.inf per Windows e ritengono che il problema potrebbe essere presente nei dispositivi di molti altri vendor. I CERT (Computer Emergency Response Team) tedeschi e austriaci stanno ad ogni modo avvisando i vendor.
[aggiornamento: D-link ci fa sapere che i modelli a suo marchio coinvolti sono i seguenti: DIR-615 e DIR-685, modelli obsoleti con scarsa diffusione sul mercato italiano che saranno in ogni caso aggiornati con un nuovo firmware entro la prossima settimana per risolvere la possibile minaccia].
Per non incappare nel problema, basta eventualmente disabilitare la funzione dall’interfaccia d’amministrazione web del router o bloccare l’accesso alle porte usando le specifiche funzioni del firewall. Tuttavia, su alcuni modelli (es. Netgear) tale possibilità non è contemplata.
La vulnerabilità è solo l’ultima di una serie individuata negli ultimi anni su vari router. A marzo di quest’anno una diversa falla è stata individuata in un componente noto come webproc.cgi, una vulnerabilità che permette di estrarre dati sensibili quali configurazioni, credenziali per l’amministrazione, ascoltare il traffico in rete e reindirizzare gli utenti verso, ad esempio, siti di phishing.
