Millones de routers y otros dispositivos embebidos son afectados por una vulnerabilidad grave que podría permitir comprometerlos. La vulnerabilidad se encuentra en el servicio NetUSB, que permite compartir conexiones a dispositivos y red a través de USB (USB over IP). Los dispositivos compartidos pueden ser routers, impresoras, webcams, discos externos y cualquier otro.
NetUSB está implementado en sistemas embebidos basado en Linux y el driver es desarrollado la empresa Taiwanesa KCodes Technology. Una vez activado, abre un servidor que escucha en puerto TCP 20005 que permiten la conexión a los clientes.
Investigadores de la empresa llamada Sec-Consult encontraron que si una computadora conectada tiene un nombre mayor de 64 caracteres, se produce un desbordamiento de pila en el servicio de NetUSB y, si se explota, puede resultar en una ejecución remota de código o de denegación de servicio.
Puesto que el código de servicio NetUSB funciona en modo Kernel, los atacantes que explotan el defecto podrían ganar la capacidad de ejecutar código malicioso en los dispositivos afectados con el más alto privilegio posible.
Muchos vendedores NetUSB integran sus productos, con nombres distintos. Por ejemplo, el fabricante Netgear lo llama ReadySHARE, mientras que otros simplemente lo llaman «compartir impresión» o «compartir puerto USB».
Sec-Consult ha confirmado la vulnerabilidad en los dispositivos TP-Link TL-WDR4300 v1 y v2, TP-Link WR1043ND y routers Netgear WNDR4500. Sin embargo, después de escanear imágenes de firmware de diferentes fabricantes en busca del driver NetUSB.ko, creen que otros 92 productos de D-Link, Netgear, TP-Link, Trendnet y ZyXEL Communications son probablemente vulnerables.
Los investigadores también hallaron referencias a 26 proveedores en el controlador NetUSB.inf del cliente para Windows, por lo que creen muchos otros proveedores podría también tienen productos vulnerables. Han alertado el centro de coordinación CERT (CERT/CC), que ya están trabajando para notificar a los proveedores.
En algunos dispositivos es posible desactivar la función de la interfaz de administración basada Web o bloquear el acceso al puerto a través del firewall. Sin embargo, en algunos dispositivos, como los de Netgear, esto no es posible
Fuente: http://blog.segu-info.com.ar/2015/
Fecha de consulta: 13 Agosto 2015
