TP-Link fixt NetUSB-Lücke bei weiteren Router-Modellen

BreitbandNetzwerke
TP-Link Archer VR200v (Bild: TP-Link)

Das Firmware-Update steht wie angekündigt jetzt bereit. Ältere Modelle sollen dann bis Mitte Juni damit versorgt werden. Die NetUSB-Schwachstelle war vergangene Woche öffentlich bekannt geworden. Sie steckt in der Softwarekomponente “NetUSB.inf” die von mindestens 26 Herstellern in ihren Treibern verwendet wird.

TP-Link hat einen weiteren Teil seiner Hausaufgaben im Zusammenhang mit der vergangene Woche als NetUSB-Lücke bekannt gewordene Schwachstelle reagiert. Sie steckt in einer von vielen Router-Herstellern genutzten Software. Nachdem TP-Link von den Entdeckern der Sicherheitslücke bereits im Vorfeld kontaktiert worden war und diese Möglichkeit nutzte, um für erste Modelle (TP-Link TL-WDR4300 V1 und TP-Link WR1043ND v2) ein Update anzubieten, steht dieses jetzt wie versprochen für “alle aktuellen Router” zum Download bereit. Besitzer älterer Geräte müssen dagegen noch bis Juni warten, für die als “Auslaufmodell” gekennzeichneten Geräte wird es kein Update mehr geben.

TP-Link fixt NetUSB-Schwachstelle bei weiteren Router-Modellen (Bild: TP-Link)
Der SOHO-Router TP-Link Archer VR200v lässt sich mit dem nun verfügbaren Firmware-Update gegen die NetUSB-Lücke absichern (Bild: TP-Link)

Ab sofort verfügbar ist es nun auch für die TP-Link-Modelle Archer VR200v, Archer C9, C7, C5, C2, C20i, die Modelle Archer D9, D7 und D2 sowie TD-W8970, TD-W9980 und TD-W8980. Damit sind im Großen und Ganzen die seit Anfang 2014 auf den Markt gekommenen Netzwerkgeräte abgedeckt.

Wie der Entdecker, Sicherheitsexperte Stefan Viehbock vom SEC Consult Vulnerability Lab, erklärte, erlaubt die Schwachstelle (CVE-2014-3036) es unautorisierten Nutzern, einen Kernel-Stack-Pufferüberlauf auszulösen, der wiederum Denial-of-Service-Attacken oder die Ausführung von Schadcode ermöglicht. Sie müssen sich dazu in der Regel im lokalen Netzwerk aufhalten. Bei einigen Router-Konfigurationen sollen aber auch Angriffe aus der Ferne möglich sein.

Laut SEC Consult ist das bei einer “unzureichenden Eingabeprüfung” der Fall. Mit einem überlangen Computernamen lasse sich dann ein Überlauf des Kernel-Stack-Puffers provozieren. Die dadurch hervorgerufenen Speicherfehler könnten dann für Remotecodeausführung mit Nutzerrechten ausgenutzt werden.

Die fehlerhafte Komponente “NetUSB.inf” hat SEC Consult in Treibern von 26 Herstellern gefunden. Die Funktion war auf allen getesteten Geräten mit NetUSB-Code aktiviert. Der Server lief auch dann, wenn kein USB-Gerät angeschlossen war. Insgesamt hat das auf Penetrationstests spezialisierte Unternehmen die aktuelle Firmware von 92 Produkten untersucht. Sie wurde außer bei TP-Link auch auf zahlreichen Modellen von D-Link, Netgear, Trendnet und Zyxel gefunden. Die deutschen Hersteller AVM und Lancom verwenden die fehlerhafte Software des taiwanischen Entwicklers KCodes nicht.

Viehbock zufolge hat SEC Consult bereits im Februar dieses Jahres versucht Kontakt aufzunehmen. Allerdings habe man zunächst keine Antwort erhalten, im März habe er dann einen Termin für eine Telefonkonferenz kurzfristig abgesagt. Vor der Veröffentlichung der Lücke, hatte SEC Consult Gerätehersteller und CERTs informiert.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen