KCodes NetUSB嚴(yán)重漏洞影響數(shù)百萬來自不同供應(yīng)商的路由器

在KCodes NetUSB內(nèi)核模塊中發(fā)現(xiàn)了一個(gè)被跟蹤為 CVE-2021-45388 的高嚴(yán)重性遠(yuǎn)程代碼執(zhí)行漏洞，數(shù)百萬流行的最終用戶路由器面臨遠(yuǎn)程代碼執(zhí)行 (RCE) 的風(fēng)險(xiǎn)。使用易受攻擊NetUSB模塊的路由器供應(yīng)商涉及Netgear、TP-Link、Tenda、EDiMAX、Dlink和Western Digital。

什么是NetUSB

KCodes NetUSB是一個(gè)Linux內(nèi)核模塊，它使本地網(wǎng)絡(luò)上的設(shè)備能夠通過IP提供基于USB的服務(wù)。打印機(jī)、外部硬盤驅(qū)動(dòng)器和閃存驅(qū)動(dòng)器插入到基于linux的嵌入式系統(tǒng)(例如路由器)，可以通過網(wǎng)絡(luò)使用該驅(qū)動(dòng)程序。

根據(jù)Sentinel One分享的報(bào)告顯示，攻擊者可以通過預(yù)認(rèn)證緩沖區(qū)溢出安全漏洞遠(yuǎn)程利用該漏洞在內(nèi)核中執(zhí)行代碼，從而允許接管設(shè)備。

通信握手

USB連接過程開始于PC和路由器之間的握手，以初始化通信：如下圖所示。

握手之后是一個(gè)while-loop命令解析，它包含以下代碼:

“SoftwareBus_fillBuf的作用與recv類似，它同時(shí)獲取緩沖區(qū)及其大小，用從套接字讀取的數(shù)據(jù)填充緩沖區(qū)。”安全研究人員表示。

BUG

當(dāng)0x805f命令到達(dá)SoftwareBus_dispatchNormalEPMsgOut函數(shù)中的以下代碼時(shí)，會(huì)觸發(fā)內(nèi)核模塊中的脆弱代碼塊：

“從遠(yuǎn)程PC中獲取了四個(gè)字節(jié)，”研究人員繼續(xù)說。數(shù)字0x11被加到它上面，然后在kmalloc中用作大小值。由于這個(gè)提供的大小沒有經(jīng)過驗(yàn)證，所以添加0x11可能會(huì)導(dǎo)致整數(shù)溢出。例如，0xffffffff的大小將導(dǎo)致在添加了0x11之后產(chǎn)生0x10。”

然后通過解引用和SoftwareBus_fillBuf函數(shù)使用和寫入這個(gè)已分配的區(qū)域，他繼續(xù)說。如下所示。

研究人員稱”查看對(duì)SoftwareBus_fillBuf的最后一次調(diào)用，所提供的大小被用作從遠(yuǎn)程套接字讀取的最大值?！?從前面的例子，大小0xffffffff將在這里使用(不是溢出的值)作為發(fā)送給recv的大小?！?/p>

在報(bào)告的同時(shí)，SentinelOne發(fā)送了一份建議的緩解策略，如下所示。該公司指出，在使用用戶提供的內(nèi)存大小分配內(nèi)存之前，應(yīng)該執(zhí)行這個(gè)整數(shù)溢出檢查：

if(user_supplied_size + 0x11 < 0x11) return;

可利用性

根據(jù)分析，有許多因素會(huì)影響利用此漏洞的可行性：

可分配大小：最小可分配的大小是0x0，最大可分配的大小是0x10。研究人員指出:“這意味著所分配的對(duì)象將始終位于內(nèi)核堆的kmalloc-32 slab中。

對(duì)溢出本身的控制量：攻擊者控制通過套接字接收的數(shù)據(jù)，但大小可以協(xié)商嗎?“由于 0xffffffff的大小在32位系統(tǒng)上實(shí)際上是不可利用的，因此有必要看看 SoftwareBus_fillBuf 的實(shí)際工作原理，”研究人員解釋稱?！斑@個(gè)函數(shù)下面是標(biāo)準(zhǔn)的socket recv函數(shù)。這意味著提供的大小僅用作最大接收大小，而不是嚴(yán)格的數(shù)量，例如 memcpy。”

易于為溢出布局內(nèi)核堆： “許多漏洞利用需要使用堆孔，以確保將易受攻擊的堆結(jié)構(gòu)放置在將被覆蓋的對(duì)象之前，”Van Amerongen補(bǔ)充道?！霸谶@個(gè)內(nèi)核模塊的情況下，接收數(shù)據(jù)的套接字有16秒的超時(shí)，這意味著結(jié)構(gòu)在分配后最多可以溢出16秒。這樣就不需要?jiǎng)?chuàng)建一個(gè)堆孔了?！?/p>

關(guān)于可以覆蓋哪些目標(biāo)結(jié)構(gòu)的約束：

• 該結(jié)構(gòu)的大小必須小于32字節(jié)才能適合kmalloc-32
• 該結(jié)構(gòu)是可噴涂的
• 結(jié)構(gòu)必須有一些可以被覆蓋的東西，使其成為有用的目標(biāo)(例如類型-長(zhǎng)度-值結(jié)構(gòu)或指針)

大到不容忽視

底線：為這個(gè)安全漏洞編寫一個(gè)利用程序并不是一件容易事，但SentinelOne認(rèn)為這也不是不可能的，而且它太關(guān)鍵了不容忽視。

“此漏洞影響全球數(shù)百萬臺(tái)設(shè)備，在某些情況下可能完全可以遠(yuǎn)程訪問，”安全研究人員強(qiáng)調(diào)說。

鑒于該漏洞存在于授權(quán)給各個(gè)路由器供應(yīng)商的第三方組件中，這意味著唯一的修復(fù)方法是每個(gè)特定供應(yīng)商推出的固件更新。

SentinelLabs于2021年9月9日開始披露程序，并于10月4日將補(bǔ)丁發(fā)送給所有供應(yīng)商。

12月14日，Netgear發(fā)布了其R6700v3設(shè)備(版本 1.0.4.122)的固定固件。

12月20日，Netgear發(fā)布了關(guān)于該漏洞的警告，并為D7800型號(hào)(固件版本1.0.1.68)和R6400v2路由器(固件版本1.0.4.122)提供了補(bǔ)丁。

調(diào)查顯示，舊的安全漏洞在黑客論壇中關(guān)注度依舊很高，這就意味著那些沒有按時(shí)更新軟件漏洞補(bǔ)丁的企業(yè)被黑客攻擊的潛在風(fēng)險(xiǎn)很大。尤其黑客不斷掃描網(wǎng)絡(luò)中存在的漏洞準(zhǔn)備隨時(shí)發(fā)起攻擊，軟件存在安全漏洞就意味著給黑客以可乘之機(jī)。

建議企業(yè)除了安裝防護(hù)軟件之外，及時(shí)檢測(cè)、發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中的薄弱環(huán)節(jié)，并進(jìn)行維護(hù)和修補(bǔ)，減小被黑客盯上的概率。同時(shí)，對(duì)于軟件開發(fā)企業(yè)，不應(yīng)只關(guān)注在軟件開發(fā)的功能和效率，同時(shí)要將安全問題融入至開發(fā)周期當(dāng)中，尤其經(jīng)常被忽略的代碼缺陷等問題。在靜態(tài)代碼安全檢測(cè)中，不但可以查找、定位代碼的缺陷問題，同時(shí)還能檢測(cè)出一些不需要運(yùn)行即可發(fā)現(xiàn)的問題，如XXS,注入漏洞、緩沖區(qū)溢出等。

綜合參考：

https://thehackernews.com/2022/01/new-kcodes-netusb-bug-affect-millions.html

https://www.bleepingcomputer.com/news/security/kcodes-netusb-bug-exposes-millions-of-routers-to-rce-attacks/

https://threatpost.com/millions-routers-exposed-bug-usb-module-kcodes-netusb/177506/