KCodes NetUSB漏洞正影响数百万SOHO路由器

导 读

近日，网络安全公司SentinelOne的网络安全研究人员在 KCodes NetUSB 组件中发现了一个严重漏洞 ( CVE-2021-45608 )，该漏洞存在于来自不同供应商的数百万终端用户路由器中，包括 Netgear、TP-Link、Tenda、EDiMAX、D-Link 和西部数据。

详 情

NetUSB是通过开发的产品 KCodes以允许网络中的远程设备与连接到路由器的USB设备进行交互。用户可以使用计算机上允许与网络设备通信的驱动程序通过网络与打印机或插入路由器的硬盘进行交互。

该漏洞是一个缓冲区溢出漏洞，远程攻击者可以利用该漏洞在内核中执行代码并进行恶意活动。根据 SentinelOne 发布的报告，攻击者可以通过端口 20005 向连接互联网的路由器发送精心设计的命令。

在通过各种二进制文件通过各种路径时，一个名为 NetUSB 的内核模块。事实证明，该模块正在侦听 IP 0.0.0.0 上的 TCP 端口 20005。如果没有防火墙规则来阻止它，那就意味着它正在侦听 WAN 和 LAN。谁不喜欢远程内核错误？

该漏洞是由 SentinelOne 研究员 Max Van Amerongen 发现的，他解释说这个问题不容易被利用。利用这个问题。好消息是 SentinelOne 不知道有任何针对 CVE-2021-45388 的主动利用尝试。

SentinelOne向 KCodes 报告了该问题，并于10月该公司发布了安全更新以解决此漏洞。

研究人员说，此漏洞影响全球数百万台设备，在某些情况下可能完全可以远程访问。由于受此漏洞影响的供应商数量众多，我们直接将此漏洞报告给 KCodes，以便分发给他们的被许可人，而不是仅针对竞赛中的 TP-Link 或 Netgear 设备。这可以确保所有供应商在比赛期间都收到补丁，而不是只有一个。虽然我们不会为此发布任何漏洞利用，但尽管开发一个漏洞涉及相当大的复杂性，但未来仍有可能公开。我们建议所有用户遵循上述补救信息，以减少任何潜在风险。

不幸的是，无法知道哪些供应商已经应用了公司发布的安全更新。在编辑此文时，只有 Netgear 为其受影响的模型发布了安全更新。

早在2015年5月，来自 SEC咨询漏洞实验室的安全专家 Stefan Viehbock报告了一个严重漏洞 ( CVE-2015-3036 )，该漏洞可能影响数百万使用 KCodes NetUSB 组件的路由器和物联网设备。攻击者可以利用 NetUSB 中的漏洞远程劫持设备或造成拒绝服务攻击。