Alert!

Sicherheitslücke in Kernel-Treiber gefährdet diverse Router

Eine Schwachstelle im Kernel-Modul NetUSB, das viele Router-Hersteller nutzen, könnten Angreifer zum Einschleusen und Ausführen von Schadcode missbrauchen.

In Pocket speichern vorlesen Druckansicht 149 Kommentare lesen
Aufmacherbild NetUSB-Lücke gefährdet Millionen Router

(Bild: Sashkin/Shutterstock.com)

Update
Lesezeit: 2 Min.
Von

Angreifer aus dem Internet könnten schädlichen Code in Router-Modellen mehrerer Hersteller einschleusen und ausführen. Abhilfe in Form aktualisierter Firmware steht für einige Geräte bereit. Auf betroffenen Routern könnten zudem manuell erstellte Firewall-Regeln vorläufig das Risiko senken. Derzeit sind noch keine aktiven Angriffe auf das Leck bekannt.

Die Schwachstelle befindet sich in dem Kernel-Modul NetUSB des Herstellers KCodes (CVE-2021-45608). NetUSB dient dazu, direkt am Router angeschlossene USB-Geräte von Endgeräten im LAN aus zu nutzen. Dazu stellt es zusammen mit einem Treiber auf dem Endgerät eine USB-Verbindung via Netzwerk zum Gerät am Router her.

Die Schwachstelle resultiert daraus, dass der Treiber eine vom Endgerät gesendete Größenangabe verwendet, ohne weitere Prüfungen vorzunehmen. Dadurch könnten Angreifer mit manipulierten Angaben einen Pufferüberlauf auslösen. Die Sicherheitsforscher von SentinalOne schreiben in ihrer Sicherheitsmeldung, dass das Ausnutzen der Lücke zwar nicht einfach, aber eben nicht unmöglich sei.

Zudem lausche der Treiber auf der Adresse 0.0.0.0 und dem TCP-Port 20005. Da keine Firewall-Regeln, zumindest auf dem getesteten Netgear-Router, Zugriffe darauf einschränkten, war der Treiber aus dem Internet erreichbar. Als vorläufige Gegenmaßnahme, wenn kein Firmware-Update vom Hersteller verfügbar ist, hilft daher eine Firewall-Regel. Diese muss den Zugriff vom externen Interface auf den TCP-Port 20005 verweigern, um Angriffe aus dem Internet zu unterbinden.

Das KCodes-NetUSB-Modul lizenzieren unter anderem die Hersteller D-Link, EDiMAX, Netgear, Tenda, TP-Link und Western Digital, schreiben die IT-Sicherheitsforscher. Somit können Router dieser Hersteller von der Schwachstelle betroffen sein. Eine detaillierte Auflistung betroffener Geräte gibt es nicht.

Bislang stehen für die Router D7800, R6400v2 und R6700v3 von Netgear aktualisierte Firmware-Images bereit, die Nutzer zeitnah installieren sollten. Eine Sicherheitsmeldung von Netgear will der Hersteller laufend aktualisieren und Updates für weitere Router darin ergänzen. Firmware-Aktualisierungen für betroffene Router von anderen Herstellern sind derzeit noch nicht bekannt.

[Update 17.01.2022 14:35 Uhr] Wie ein Leser im Forum berichtet, hat auch TP-Link eine Meldung mit betroffenen Geräten und verfügbaren Firmware-Updates veröffentlicht.

(dmk)