Vulnerabilità critica su NetUSB, milioni di router a rischio hack

Milioni di dispositivi fra router e dispositivi embedded sono potenzialmente a rischio hack da parte di aggressori esterni. La vulnerabilità è stata scoperta nel servizio NetUSB, che consente ai dispositivi connessi via USB ad un computer di condividere i propri dati con altre macchine su una rete locale o su internet via IP. Fra i dispositivi a rischio troviamo router, stampanti, webcam, pennini USB, hard disk esterni, e molto altro.

La falla su NetUSB è stata svelata da Sec Consult in un post pubblicato martedì. Il servizio è implementato nei sistemi embedded basati su Linux e opera attraverso dei driver sviluppati dalla taiwanese KCodes Technology, i quali aprono un server in ascolto sulla porta TCP 20005. Sec Consult ha scoperto che il servizio può essere manipolato in maniera non troppo complessa collegando un dispositivo con un nome più lungo di 64 caratteri.

NetUSB in questo modo va in stack buffer overflow e, con un exploit ad-hoc, è possibile eseguire codice da remoto o inviare un attacco DoS. Considerando che i driver del servizio operano in kernel mode, una vulnerabilità può offrire i privilegi più alti possibili ad un eventuale aggressore. NetUSB è presente in molti prodotti commerciali fra i più diffusi, ma spesso viene implementato con nomi differenti: Netgear lo chiama ad esempio ReadySHARE, altri con nomi più generici.

Sec Consult ha rilasciato una lista con i modelli noti che contengono la vulnerabilità: fra questi vengono citati TP-Link TL-WDR4300 V1, TP-Link WR1043ND v2 e Netgear WNDR4500. Tuttavia, dopo aver scansionato i firmware di molti altri prodotti alla ricerca del driver NetUSB.ko, la società di sicurezza ritiene che altri 92 prodotti dei produttori di router più celebri possano essere affetti dalla vulnerabilità, citando oltre Netgear e TP-Link, anche Trendnet e ZyXEL.

I ricercatori hanno trovato tracce dei driver NetUSB.inf su dispositivi di 26 produttori diversi, elemento che espande enormemente la portata della vulnerabilità. Su alcuni dispositivi è possibile bloccare l'accesso alla porta utilizzando le impostazioni del firewall ma su altri, come ad esempio alcuni modelli Netgear, questo non è possibile secondo la fonte. Molti prodotti vulnerabili, inoltre, potrebbero essere esposti esclusivamente all'interno della rete locale.

TP-Link è l'unica società ad aver rilasciato un fix per la vulnerabilità e ha già pianificato la correzione per una lista di 40 prodotti. Lo stesso discorso vale per D-Link, che ci ha fatto sapere che aggiornerà i suoi due modelli vulnerabili (DIR-615 e DIR-685) entro la settimana prossima. Netgear e ZyXEL, invece, non hanno ancora risposto sull'argomento.