Falla en NetUSB permite ejecución remota en dispositivos de red

Conocimiento pertenece al mundo
Tweet about this on TwitterShare on FacebookShare on LinkedInShare on Google+Share on StumbleUponShare on TumblrShare on RedditPin on PinterestEmail this to someone

Investigadores de SEC Consult han publicado detalles de una vulnerabilidad crítica de desbordamiento de pila (stack buffer overflow) en el kernel de NetUSB, un componente de software que proporciona funcionalidad USB sobre IP y que se incluye en las más recientes versiones de firmware de algunos dispositivos de red como TP-Link, Netgear, Trendnet y Zyxel.

Después de intentar, por meses, que el proveedor de la compañía taiwanesa KCodes abordara el tema, SEC Consult optó primero por informar a TP-Link y Netgear, proporcionando una Prueba de Concepto (PoC) del exploit en modo privado.

Ellos notificaron al CERT del Centro de Coordinación (CERT/CC) para solicitar ayuda para coordinar la divulgación de la vulnerabilidad con los proveedores afectados; finalmente se publicó un documento con consejos de seguridad que no incluye el código de la PoC del exploit; al mismo tiempo que los proveedores liberaron el parche para la vulnerabilidad.

Falla en NetUSB permite ejecución remota en dispositivos de red
Falla en NetUSB permite ejecución remota en dispositivos de red

“Los dispositivos USB (por ejemplo impresoras, unidades de disco externo, memorias flash) conectados a un sistema embebido basado en Linux (como routers, puntos de acceso o una caja “USB sobre IP” dedicada) se distribuyen a través de la red usando un controlador de kernel de Linux que ejecuta un servidor (puerto 20005 TCP). El lado del cliente se implementa en software disponible para Windows y OS X. Éste se conecta hacia el servidor y simula los dispositivos que están conectados en el sistema embebido local. La experiencia del usuario es como si los dispositivos USB estuvieran conectados físicamente en el sistema cliente”, explicaron los investigadores.

“Para establecer una conexión al servidor, se necesita pasar una autenticación mutua. Como parte de un inicio de conexión, el cliente envía el nombre de su computadora. Ahí es donde está lo interesante: El cliente puede especificar el tamaño del nombre de la computadora, al hacerlo con un nombre de más de 64 caracteres, ocurre el desbordamiento de pila cuando se recibe el nombre de la computadora desde un socket.”

Como resultado puede haber corrupción de la memoria, falla que puede ser explotada por atacantes que ejecuten código arbitrario de forma remota.

La tecnología NetUSB tiene varios nombres dependiendo del proveedor: ReadySHARE, print sharing, USB share port, entre otros.

“Mientras NetUSB no era accesible desde Internet en nuestros dispositivos, existen algunos indicios de que algunos dispositivos exponen el puerto TCP 20005 en Internet. No sabemos si esto se debe a una mala configuración del usuario o de un ajuste por defecto dentro de un dispositivo específico. La exposición de NetUSB a Internet permite a los atacantes acceder a los dispositivos USB de las posibles víctimas y esto realmente cuenta como otra vulnerabilidad”, señaló el investigador.

En total, cerca de 100 dispositivos se ven afectados por esta vulnerabilidad (la lista está incluida en eldocumento de consejos).

TP-Link lanzó algunas correcciones y se planea que se emitan más próximamente. Netgear está trabajando en ellas y ha dicho a los investigadores que es imposible mitigar el riesgo, mientras tanto, “el puerto TCP no puede estar detrás de un firewall y no hay manera de desactivar el servicio en sus dispositivos.”

Fuente:http://www.seguridad.unam.mx/

Conocimiento pertenece al mundo
Tweet about this on TwitterShare on FacebookShare on LinkedInShare on Google+Share on StumbleUponShare on TumblrShare on RedditPin on PinterestEmail this to someone