TP-Link und Zyxel schließen NetUSB-Lücke in ihren Routern

Die Hersteller TP-Link und Zyxel haben inzwischen aktualisierte Firmware-Versionen für Routermodelle veröffentlicht, die von der kürzlich bekannt gewordenen NetUSB-Lücke betroffen sind. Durch einen Fehler in der von KCodes entwickelten USB-over-IP-Funktion, mit der sich etwa USB-Drucker oder externe Speichermedien im lokalen Netzwerk freigeben lassen, konnten Angreifer unter anderem Schadcode mit Kernel-Rechten ausführen.

TP-Link hat neben seinem SOHO-Router Archer VR200v auch alle anderen aktuellen Modelle gegen die NetUSB-Lücke abgesichert (Bild: TP-Link).Nachdem TP-Link von den Entdeckern der Sicherheitslücke bereits im Vorfeld kontaktiert worden war und diese Möglichkeit nutzte, um für erste Modelle (TP-Link TL-WDR4300 V1 und TP-Link WR1043ND v2) ein Update anzubieten, steht dieses jetzt wie versprochen für „alle aktuellen Router“ zum Download bereit. Besitzer älterer Geräte müssen noch bis Juni warten, für die als „Auslaufmodell“ gekennzeichneten Geräte wird es hingegen kein Update mehr geben.

Ab sofort verfügbar ist die neue Firmware nun für die TP-Link-Router Archer VR200v, Archer C9, C7, C5, C2 und C20i, Archer D9, D7 und D2 sowie TD-W8970, TD-W9980 und TD-W8980. Damit sind die seit Anfang 2014 auf den Markt gekommenen Netzwerkgeräte weitestgehend versorgt.

Zyxel hat mittlerweile ebenfalls Firmware-Updates bereitgestellt, welche die NetUSB-Lücke schließen. Sie liegen für die Modelle NBG-419N V2, NBG4615 V2, NBG5615 sowie NBG5715 vor. Nach Angaben des Unternehmens sind somit alle vier betroffenen Router abgesichert.

Besitzer eines Netgear-Produkts mit der hier als ReadyShare bezeichneten NetUSB-Funktion werden hingegen noch etwas länger auf einen Fix warten müssen. „Wir werden das Problem im dritten Quartal dieses Jahres mit Firmware-Updates adressieren. Wir informieren unsere Kunden, sobald die neue Firmware für ihr Gerät verfügbar ist“, teilte Netgear auf Anfrage mit. Zudem betont es, dass sich die Schwachstelle bei seinen Routern nicht für Remotecodeausführung ausnutzen lasse, sondern ein Angreifer sich im lokalen Netzwerk befinden müsse. Sicherheitshalber sollten Anwender prüfen, dass der standardmäßig aktivierte WLAN-Schutz eingeschaltet ist und ihr Passwort für den Router ändern, um unautorisierte Netzwerkzugriffe auszuschließen.

Wie Sicherheitsexperte Stefan Viehbock vom SEC Consult Vulnerability Lab vor rund zehn Tagen erklärte, erlaubt die NetUSB-Schwachstelle (CVE-2014-3036) es einem unautorisierten Nutzer in einem lokalen Netzwerk, einen Kernel-Stack-Pufferüberlauf auszulösen, der wiederum Denial-of-Service-Attacken oder die Ausführung von Schadcode ermöglicht. Einige Routerkonfigurationen sollen zusätzlich auch Angriffe aus der Ferne zulassen.

Laut SEC Consult ist dies bei einer „unzureichenden Eingabeprüfung“ der Fall. Mit einem überlangen Computernamen lasse sich ein Überlauf des Kernel-Stack-Puffers provozieren. Die dadurch hervorgerufenen Speicherfehler könnten dann für Remotecodeausführung mit Nutzerrechten ausgenutzt werden.

Die fehlerhafte Komponente „NetUSB.inf“ hat SEC Consult in Treibern von 26 Herstellern gefunden. Die Funktion war auf allen getesteten Geräten mit NetUSB-Code aktiviert. Der Server lief auch dann, wenn kein USB-Gerät angeschlossen war. Insgesamt hat das auf Penetrationstests spezialisierte Unternehmen die aktuelle Firmware von 92 Produkten untersucht. Sie wurde außer bei TP-Link und Zyxel auch auf zahlreichen Modellen von D-Link, Netgear und Trendnet gefunden. Die Hersteller AVM, Asus und Lancom verwenden die fehlerhafte Software des taiwanischen Entwicklers KCodes nicht.

Viehbock zufolge versuchte SEC Consult im Februar dieses Jahres, Kontakt zum taiwanischen Entwickler KCodes aufzunehmen, ehe es die Lücke in dessen Software öffentlich machte. Allerdings habe man zunächst keine Antwort erhalten, im März habe KCodes dann einen angesetzten Termin für eine Telefonkonferenz kurzfristig abgesagt. Vor der Veröffentlichung der Lücke hatte SEC Consult Gerätehersteller und CERTs informiert.

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.