Anzeige

Router

Die Forscher von SentinelLabs, der Research-Abteilung von SentinelOne, haben einen schwerwiegenden Sicherheitsmangel im KCodes NetUSB-Kernelmodul entdeckt, das von zahlreichen Netzwerkgeräteherstellern verwendet wird und Millionen von Endbenutzer-Routergeräten betrifft.

Cyberkriminelle könnten diese Sicherheitslücke per Remotezugriff ausnutzen, um Code im Kernel ihres Ziels auszuführen. Dies kann es Angreifern ermöglichen, das System ihres Opfers zu übernehmen, Daten zu stehlen oder zu verschlüsseln und erheblichen Schaden anzurichten.

SentinelLabs hat seine Erkenntnisse zur Schwachstelle im September 2021 proaktiv an KCodes kommuniziert. Im Oktober wurde dann ein Update-Patch zur Behebung der Sicherheitslücke an die betroffenen Hersteller verschickt. Bei MITRE wird die Sicherheitslücke unter dem Kürzel CVE-2021-45608 geführt.

Details zur Schwachstelle und betroffene Hersteller

NetUSB ist ein von KCodes entwickeltes Produkt. Es wurde konzipiert, um Remote-Geräte in einem Netzwerk mit USB-Geräten interagieren zu lassen, die an einen Router angeschlossen sind. So kann beispielsweise mit einem Drucker interagiert werden, als wäre er direkt über USB an den Rechner angeschlossen. Dazu ist ein Treiber auf dem Computer erforderlich, der über dieses Kernelmodul mit dem Router kommuniziert. 

Dieses Modul ist für eine Vielzahl von Herstellern zur Verwendung in ihren Produkten lizenziert, insbesondere für:

  •  Netgear
  •  TP-Link
  •  Tenda
  •  EDiMAX
  •  DLink
  •  Western Digital

Die Sicherheitslücke betrifft Millionen von Geräten auf der ganzen Welt und kann in einigen Fällen vollständig remote ausgeführt werden. Aufgrund der großen Anzahl von Anbietern, die von der Schwachstelle betroffen sind, haben die Forscher von SentinelLabs die Schwachstelle direkt an KCodes gemeldet, damit die Informationen an deren Lizenznehmer verteilt werden können. Dadurch wurde sichergestellt, dass alle Hersteller den Patch erhalten können.

Disclosure und Gegenmaßnahmen

Am 04. September haben die Forscher von SentinelLabs KCodes über die Existenz der Sicherheitslücke informiert und am 20. September wurden die vollständigen Details ihrer Untersuchung an KCodes kommuniziert. Im Oktober wurde ein Updatepatch von KCodes bereitgestellt, der an die betroffenen Anbieter verteilt wurde. Zusätzlich wurde die Verwendung der fehlerhaften Firmware eingestellt. Zum jetzigen Zeitpunkt hat SentinelOne keine Hinweise auf erfolgreiche Missbrauchsfälle des Protokolls durch Cyberkriminelle entdeckt. 

Da diese Sicherheitslücke in einer Komponente eines Drittanbieters steckt, die für verschiedene Router-Hersteller lizenziert ist, besteht die einzige Möglichkeit zur Behebung darin, die Firmware des Routers zu aktualisieren, sofern ein Update verfügbar ist. Es ist wichtig, sicherzustellen, dass es sich bei dem verwendeten Router nicht um ein Auslaufmodell handelt, da es in diesem Fall unwahrscheinlich ist, dass er ein Update für diese Sicherheitslücke erhält.

www.sentinelone.com


Weitere Artikel

Ukraine Hack

Der Angriff und das Defacement von Webseiten der ukrainischen Regierung

Am Freitagmorgen wurden mehrere Webseiten der ukrainischen Regierung und Botschaft angegriffen. Im Folgenden finden Sie einen Kommentar von John Hultquist, Vice President, Intelligence Analysis bei Mandiant, zu diesem Vorfall.
Cyberangriff

Noch vor Pandemie: Cyberangriffe die größte Gefahr für Unternehmen

Manager und Sicherheitsfachleute weltweit sehen in Cyberangriffen die größte Gefahr für Unternehmen. Im am Dienstag veröffentlichten «Risikobarometer» des zur Allianz gehörenden Industrieversicherers AGCS liegen kriminelle Hacker mit ihren Aktivitäten auf…
Windows

Über 3 Millionen unsichere Windows-PCs am Netz

In deutschen Haushalten gibt es rund 48 Millionen Computer, die mit dem Betriebssystem Windows laufen. Die Corona-Pandemie hat dazu geführt, dass Privatnutzer ihre Altgeräte erneuert und sogar mehr Geräte gekauft haben.
Corona Hacker

Dridex-Malware: Geschmacklose Omikron Phishing-Kampagne

„Eine bösartige Phishing-Kampagne verhöhnt die Opfer, nachdem sie ihre Geräte mit Dridex-Malware infiziert“, so Lawrence Abrams von BleepingComputer.
Malware

Malware-Downloads erfolgten im Jahr 2021 meist über Cloud-Apps

Mehr als zwei Drittel der Malware-Downloads im Jahr 2021 stammen von Cloud-Apps. Google Drive wurde dabei als die App mit den meisten Malware-Downloads identifiziert und löst damit Microsoft OneDrive ab.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.