NetUSB è un driver integrato nel kernerl Linux che è stato sviluppato dalla società taiwanese KCodes e che è pensato per fornire accessibilità ai dispositivi USB mediante una connessione alla rete domestica o tramite Wi-Fi. Già in passato il driver è risultato affetto da problematiche di sicurezza e nel corso delle ultime ore è emersa una situazione bene o male analoga.
NetUSB: la falla affligge milioni di router delle principali marche
I ricercatori di SentinelOne hanno infatti descritto in dettaglio una falla di gravità elevata individuata nel componente in questione che va ad interessare milioni di router dei principali marchi, tra cui Netgear, TP-Link, Tenda e D-Link.
La falla, siglata come CVE-2021-45608 e a cui è stato assegnato un punteggio CVSS pari a 9,8, permette ai dispositivi remoti di connettersi ai router tramite IP e di accedere a qualsiasi device USB (stampanti, altoparlanti, webcam, ecc.) ad essi collegato come se fosse fisicamente connesso al sistema locale.
A rendersi conto della cosa è stato il ricercatore Van Amerongen, che esaminando un router a marchio Netgear ha notato che il modulo del kernel NetUSB era in ascolto sulla porta TCP 20005 sull’IP 0.0.0.0. In assenza di regole firewall il prodotto era quindi in ascolto sulla WAN e sulla LAN. Date le circostanze, il ricercatore ha deciso di testare sul prodotto un exploit realizzato nel 2015 per un’altra vulnerabilità NetUSB.
L’exploit ha creato la condizione di buffer overflow che consente di sfruttare la falla da remoto e SentinelOne si è immediatamente industriata per contattare i vari produttori interessati. La patch è stata inviata a tutti i fornitori il 4 ottobre dello scorso anno e nel mese di dicembre Netgear ha rilasciato un aggiornamento firmware per i suoi modelli colpiti.
Da notare che anche gli altri produttori coinvolti hanno già rilasciato degli aggiornamenti per risolvere il bug o comunque sono in procinto di farlo. L’unica allerta rimane sui modelli di router alla fine del loro ciclo di vita per i quali potrebbe non essere disponibile un update. Ad ogni modo, secondo SentinelOne al momento non vi sono prove che la falla sia stata realmente sfruttata.