Kritische Lücke in etlichen Routern

Durch einen verwundbaren Dienst können Angreifer beliebigen Code auf dem Router mit Kernel-Rechten ausführen. Die Anzahl der potenziell betroffenen Router-Hersteller ist immens.

In Pocket speichern vorlesen Druckansicht 256 Kommentare lesen
NetUSB-Lücke klafft in unzähligen Routern
Lesezeit: 4 Min.
Von
  • Ronald Eikenberg

In Routern etlicher Hersteller klafft eine kritische Sicherheitslücke, durch die ein Angreifer Code mit Kernel-Rechten ausführen kann. Betroffen ist die von KCodes entwickelte Funktion USB Over IP, die Router nutzen, um zum Beispiel USB-Drucker oder externe Festplatten im lokalen Netz freizugeben. Entdeckt wurde die Lücke von der österreichischen Pentesting-Firma SEC Consult. Die Sicherheitsexperten haben in Treibern Hinweise darauf gefunden, dass die verwundbare Komponente von bis zu 26 Herstellern eingesetzt wird, darunter bekannte Namen wie D-Link, Netgear, TP-Link und ZyXEL.

SEC Consult hat zahlreiche Firmware-Images von fünf Hersteller entpackt und stieß in 92 Fällen auf den angreifbaren Kernel-Treiber NetUSB.ko. Bei der Lücke handelt es sich um einen klassischen Buffer Overflow auf dem Stack. Der Kernel-Treiber fungiert als Server. Er lauscht im lokalen Netz auf Port 20005. Um das an den Router angeschlossene USB-Gerät nutzen zu können, installiert man auf dem Rechner eine Treiber-Software, die transparent mit dem Server kommuniziert. Beim Verbindungsaufbau sendet sie den Namen des Rechners an den Server – ist dieser Wert länger als 64 Zeichen, kommt es zum Speicherüberlauf. Ein Angreifer kann diesen ausnutzen, um Code auf dem Router mit Kernel-Rechten auszuführen.

Im Februar dieses Jahres haben die Entdecker der Lücke zunächst versucht, in Dialog mit der taiwanischen Firma KCodes zu treten, welche die anfällige Komponente entwickelt hat. Das gelang anscheinend mehr schlecht als recht: Das Unternehmen einigte sich mit SEC Consult zwar auf einen Termin für eine Telefonkonferenz, sagte ihn jedoch kurzfristig ab. Die Pentesting-Firma setzte sich zudem mit Netgear und TP-Link in Verbindung, weitere Hersteller wurden mit Hilfe verschiedener CERTs informiert.

Nutzer betroffener Geräte bleibt derzeit nichts anderes, als darauf zu hoffen, dass der Hersteller eine abgesicherte Firmware-Version veröffentlicht. Zwar kann man die Funktion bei einigen Geräten über das Webinterface deaktivieren, zumindest bei Netgear lässt sich die Lücke aber selbst dann noch ausnutzen.

TP-Link hat das Sicherheitsleck bereits in der Firmware der Modelle TD-W8970 V3.0 und TD-W9980 V1.0 gestopft. Laut dem Advisory zur Lücke wurde auch die Firmware des Archer VR200v V1.0 abgesichert, sie ist derzeit allerdings nicht auf der Herstellerseite zu finden. Viele weitere Router sollen noch in diesem Monat abgesichert werden. Fünf der betroffenen TP-Link-Router haben allerdings bereits den Status End-Of-Life erreicht und werden wohl kein Update mehr bekommen. Ob und wie die anderen Hersteller auf das Sicherheitsproblem reagieren, werden die nächsten Wochen und Monate zeigen.

Ob der eigene Router betroffen ist, wenn er nicht auf der Liste steht, lässt sich nur mit einigem Aufwand überprüfen. Um herauszufinden, ob der betroffene Dienst läuft, kann man zum Beispiel mit Telnet ausprobieren, ob der Router im lokalen Netz auf Port 20005 antwortet. SEC Consult hat einen Exploit entwickelt, der überprüft, ob sich die Lücke ausnutzen lässt. Das Unternehmen hält ihn allerdings noch zurück, um den Router-Herstellern Zeit zu geben, die Schwachstelle zu beheben.

Update vom 20. Mai 2015, 16:50: AVM erklärte gegenüber heise Security, dass die Fritzbox-Router nicht anfällig sind, da der verwundbare Treiber nicht eingesetzt wird. ZyXEL teilte mit, dass man "derzeit eng mit der Firma Kcodes zusammen" arbeite, "um die NetUSB Sicherheitslücke zu schließen". Eine abgesicherte Firmware für die betroffenen Modelle ZyXEL NBG-419N v2, NBG4615 v2, NBG5615 und NBG5715 soll "in Kürze zur Verfügung stehen". (rei)