Infos

Publication des détails d’un bogue sans correctif dans KCodes NetUSB

Le groupe d’intervention rapide face aux cybermenaces (CERT) de l’université Carnegie-Mellon, appuyé par le ministère américain de la Sécurité intérieure, a dévoilé une vulnérabilité grave dans KCodes NetUSB, un module logiciel intégré aux produits réseau de plusieurs fabricants.

KCodes NetUSB est un module du noyau Linux qui permet à plusieurs utilisateurs du réseau local d’utiliser simultanément des périphériques USB via IP. Cette vulnérabilité, décrite par Stefan Viehbock de SEC Consult Vulnerability Lab, peut être éliminée en installant un nouveau micrologiciel. D’arpès SEC Consult, TP-Link est la seule société à avoir diffusé un correctif et planifié la mise à jour de 40 de ses produits. Aucune information ne permet de dire si cette vulnérabilité existe ou non dans les produits de Cisco, D-Link, Linksys, TrendNet et d’autres fabricants.

Inspiré du rapport rédigé par Stefan Viehbock, l’avis signale qu’un « individu malintentionné non authentifié dans le réseau local peut provoquer un débordement de la mémoire tampon avec comme conséquence un déni de service ou une exécution à distance d’un code. La configuration par défaut de certains périphériques peut également permettre la réalisation d’attaques à distance ».

La vulnérabilité CVE-2015-3036 est un débordement de tampon qui permet à l’individu malintentionné de planter le périphérique qui exécute le module de noyau ou, dans certains cas, de lancer un code à distance.

« Les données de l’ordinateur du client, transférées lors de la connexion au serveur NetUSB, ne sont pas validées correctement par le pilote avant le traitement » peut-on lire dans l’avis du CERT qui cite Stefan Viehbock.

Stefan Viehbock, célèbre pour son article « Brute Forcing Wi-Fi Protected Setup » publié en 2011, a fourni un code de preuve de concept dans un avis publié par SEC Consult.

« NetUSB possède une vulnérabilité de débordement de tampon de la pile du noyau qui peut être exploitée à distance. En raison de la validation insuffisante des données entrantes, un nom d’ordinateur trop long peut provoquer un débordement de tampon de la pile du noyau ‘computer name’. Cela endommage la mémoire et peut déboucher sur une exécution à distance d’un code arbitraire » explique Stefan Viehbock.

L’avis du CERT/CC indique toutefois que le groupe n’a pas été en mesure de confirmer l’existance de ce problème dans KCodes. Mais SEC Consult a indiqué que la présence de la vulnérabilité avait été confirmée dans TP-Link TL-WDR4300 V1, TP-Link WR1043ND V2 et Netgear WNDR4500. L’avis reprend également une longue liste de périphériques de D-Link, Netgear, TP-Link, TrendNet et Zyxel qui contiennent KCodes NetUSB, ainsi que de noms de fabricants dont les produits utilisent des pilotes KCodes intégrés.

« Il est parfois possible de désactiver NetUSB dans l’interface Internet, mais cette mesure n’offre aucune protection contre la vulnérabilité, du moins sur les périphériques NETGEAR. NETGEAR nous a indiqué qu’il n’existe aucune méthode pour déjouer cette vulnérabilité. Le port TCP ne peut être fermé par le pare-feu et il est impossible de désactiver ce service sur ses périphériques » a expliqué Stefan Viehbock au moment d’aborder des contre-mesures.

SEC Consult a déclaré qu’elle avait analysé le pilote NetUSB sur un périphérique TP-Link. Outre le problème du débordement de tampon, la vérification mutuelle de l’authentification est inutile, d’après les chercheurs, car celle-ci repose sur l’utilisation d’une clé AES statique qui se trouve dans le pilote du noyau et dans le client pour Windows et OS X.

Au moment d’initialiser la connexion, le client envoie le nom de son ordinateur. Et c’est ici que la situation devient intéressante : le client peut limiter la longueur du nom de l’ordinateur. Si le nom compte plus de 64 caractères, cela provoque un débordement du tampon de la pile lors de la réception du nom de l’ordinateur depuis le socket » déclare SEC Consult. « C’est aussi simple que ça. Les années 90 sont de retour avec leurs vulnérabilités telles que le débordement de tampon. Tout le code serveur est exécuté en mode noyau, il s’agit donc d’un cas « rare » de débordement de tampon de pile du noyau à distance ».

Les chercheurs affirment avoir contacté KCodes au mois de février et fourni tous les détails de la vulnérabilité ainsi que le code de preuve de concept, mais la société les a ignorés.

Source : threatpost

Publication des détails d’un bogue sans correctif dans KCodes NetUSB

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception