USB over IP reißt Sicherheitslücke in Millionen Routern auf

Artikel bewerten

Viele Router nutzen eine kleine Software der taiwanesische Firma KCodes, um USB over IP zu realisieren. In diesem Softwareelement hat sich ein Programmierfehler eingeschlichen, der nun die Sicherheit von Millionen Routern bedroht.

Die verwendete Software ermöglicht es, USB-Geräte über IP anzusteuern. Dies wird in Routern unter anderem dazu verwendet, USB-Medien im Netzwerk verfügbar zu machen (z. B. USB-Sticks oder Drucker). Wie jetzt die Firma Sec Consult herausgefunden hat, existiert die Möglichkeit, einen Buffer Overflow auszunutzen, um beliebigen Code auszuführen. Da der Angriffsvektor genau beschrieben ist, ist die Gefahr der Ausnutzung als sehr hoch einzuschätzen.

Oft in hinteren Raumecken versteckt, aber trotzdem anfällig für Sicherheitslücken: Router

Oft in hinteren Raumecken versteckt, aber trotzdem anfällig für Sicherheitslücken: Router

Im oben verlinkten Security Advisory listet Sec Consult die vermutlich betroffenen Systeme auf. Folgende Hersteller könnten lt. Sec Consult betroffen sein:

  • Allnet
  • Ambir Technology
  • AMIT
  • Asante
  • Atlantis
  • Corega
  • Digitus
  • D-Link
  • EDIMAX
  • Encore Electronics
  • Engenius
  • Etop
  • Hardlink
  • Hawking
  • IOGEAR
  • LevelOne
  • Longshine
  • NETGEAR
  • PCI
  • PROLiNK
  • Sitecom
  • Taifa
  • TP-LINK
  • TRENDnet
  • Western Digital
  • ZyXEL

Ist mein Router betroffen?

Da die Liste der Hersteller/Geräte keinen Anspruch auf Vollständigkeit hat, sollte man lieber selbst überprüfen, ob der eigene Router von diesem Sicherheitsleck betroffen ist. Der betroffene Dienst lauscht im lokalen Netz auf Port 20005. Wer sich nicht mit Telnet auskennt, kann einen Test mittels eines Portscanners durchführen: Die Freeware Portscan ist dazu völlig ausreichend. Als Start- und End-IP-Adresse gibt man die IP-Adresse des Routers ein (oft 192.168.2.1 oder 192.168.1.1). Findet man den offenen Port 20005, wird auf dem Router USB over IP zur Verfügung gestellt. Dies bedeutet noch nicht, dass eine Verwundbarkeit vorliegt, die Wahrscheinlichkeit ist jedoch gegeben.

Positiv: Dieser Router hat den Port 20005 geöffnet und ist damit potentiell anfällig für die Sicherheitslücke

Positiv: Dieser Router hat den Port 20005 geöffnet.

Maßnahmen zur Absicherung

Wer die USB over IP-Funktionalität nicht benötigt, weil kein Drucker oder USB-Stick angeschlossen ist, kann versuchen, die Funktionalitäten zu deaktivieren. Man sollte jedoch nicht darauf vertrauen, dass dadurch die Anfälligkeit behoben wird. Ein Portscan nach Deaktivierung sollte jedenfalls keinen Port 20005 mehr als offen anzeigen.

Die Hersteller der betroffenen Router haben Updates zugesagt. Anwender sollten also auf den Seiten der Hersteller schauen, ob möglicherweise schon jetzt Firmware-Updates zur Verfügung stehen.