Publication des détails d’un bogue sans correctif dans KCodes NetUSB

Le groupe d’intervention rapide face aux cybermenaces (CERT) de l’université Carnegie-Mellon, appuyé par le ministère américain de la Sécurité intérieure, a dévoilé une vulnérabilité grave dans KCodes NetUSB, un module logiciel intégré aux produits réseau de plusieurs fabricants.

KCodes NetUSB est un module du noyau Linux qui permet à plusieurs utilisateurs du réseau local d’utiliser simultanément des périphériques USB via IP. Cette vulnérabilité, décrite par Stefan Viehbock de SEC Consult Vulnerability Lab, peut être éliminée en installant un nouveau micrologiciel. D’arpès SEC Consult, TP-Link est la seule société à avoir diffusé un correctif et planifié la mise à jour de 40 de ses produits. Aucune information ne permet de dire si cette vulnérabilité existe ou non dans les produits de Cisco, D-Link, Linksys, TrendNet et d’autres fabricants.

Inspiré du rapport rédigé par Stefan Viehbock, l’avis signale qu’un « individu malintentionné non authentifié dans le réseau local peut provoquer un débordement de la mémoire tampon avec comme conséquence un déni de service ou une exécution à distance d’un code. La configuration par défaut de certains périphériques peut également permettre la réalisation d’attaques à distance ».

La vulnérabilité CVE-2015-3036 est un débordement de tampon qui permet à l’individu malintentionné de planter le périphérique qui exécute le module de noyau ou, dans certains cas, de lancer un code à distance.

« Les données de l’ordinateur du client, transférées lors de la connexion au serveur NetUSB, ne sont pas validées correctement par le pilote avant le traitement » peut-on lire dans l’avis du CERT qui cite Stefan Viehbock.

Stefan Viehbock, célèbre pour son article « Brute Forcing Wi-Fi Protected Setup » publié en 2011, a fourni un code de preuve de concept dans un avis publié par SEC Consult.

« NetUSB possède une vulnérabilité de débordement de tampon de la pile du noyau qui peut être exploitée à distance. En raison de la validation insuffisante des données entrantes, un nom d’ordinateur trop long peut provoquer un débordement de tampon de la pile du noyau ‘computer name’. Cela endommage la mémoire et peut déboucher sur une exécution à distance d’un code arbitraire » explique Stefan Viehbock.

L’avis du CERT/CC indique toutefois que le groupe n’a pas été en mesure de confirmer l’existance de ce problème dans KCodes. Mais SEC Consult a indiqué que la présence de la vulnérabilité avait été confirmée dans TP-Link TL-WDR4300 V1, TP-Link WR1043ND V2 et Netgear WNDR4500. L’avis reprend également une longue liste de périphériques de D-Link, Netgear, TP-Link, TrendNet et Zyxel qui contiennent KCodes NetUSB, ainsi que de noms de fabricants dont les produits utilisent des pilotes KCodes intégrés.

« Il est parfois possible de désactiver NetUSB dans l’interface Internet, mais cette mesure n’offre aucune protection contre la vulnérabilité, du moins sur les périphériques NETGEAR. NETGEAR nous a indiqué qu’il n’existe aucune méthode pour déjouer cette vulnérabilité. Le port TCP ne peut être fermé par le pare-feu et il est impossible de désactiver ce service sur ses périphériques » a expliqué Stefan Viehbock au moment d’aborder des contre-mesures.

SEC Consult a déclaré qu’elle avait analysé le pilote NetUSB sur un périphérique TP-Link. Outre le problème du débordement de tampon, la vérification mutuelle de l’authentification est inutile, d’après les chercheurs, car celle-ci repose sur l’utilisation d’une clé AES statique qui se trouve dans le pilote du noyau et dans le client pour Windows et OS X.

Au moment d’initialiser la connexion, le client envoie le nom de son ordinateur. Et c’est ici que la situation devient intéressante : le client peut limiter la longueur du nom de l’ordinateur. Si le nom compte plus de 64 caractères, cela provoque un débordement du tampon de la pile lors de la réception du nom de l’ordinateur depuis le socket » déclare SEC Consult. « C’est aussi simple que ça. Les années 90 sont de retour avec leurs vulnérabilités telles que le débordement de tampon. Tout le code serveur est exécuté en mode noyau, il s’agit donc d’un cas « rare » de débordement de tampon de pile du noyau à distance ».

Les chercheurs affirment avoir contacté KCodes au mois de février et fourni tous les détails de la vulnérabilité ainsi que le code de preuve de concept, mais la société les a ignorés.

Source : threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *