Американская компания SentinelOne обнаружила критическую уязвимость в одном из компонентов маршрутизаторов компаний Netgear, TP-Link, Tenda, EDiMAX, D-Link и Western Digital, пользующихся большой популярностью по всему миру, в том числе в России. Проблема затрагивает миллионы устройств.

Источник изображения: TP-Link

Уязвимость с идентификатором CVE-2021-45388 нашли в библиотеке NetUSB тайваньской компании KCodes, которая позволяет устройствам в локальной сети взаимодействовать с внешними устройствами, например, принтерами, подключёнными к маршрутизатору. Согласно данным KCodes, этот модуль установлен более чем в 20 % сетевых устройств во всем мире, то есть проблема затрагивает огромное число устройств. Уязвимость имеет оценку 9,8 из 10 баллов по шкале CVSS (стандарт, который позволяет обмениваться данными об IT-уязвимостях).

Проблема заключается в том, что модуль NetUSB неправильно проверяет размер пакетов, получаемых через удалённые соединения, что потенциально может привести к переполнению буфера. Отмечается, что вредоносное ПО для использования CVE-2021-45388 сложно создать из-за ограничений (например, переполнение буфера инициируется специальными пакетами), но эксплойт может обеспечить удалённое выполнение кода в ядре.

Уязвимость можно устранить, установив обновление, которое KCodes представила в конце прошлого года. Однако эту возможность предоставила своим пользователям пока только Netgear, выпустившая обновлённую прошивку.

По словам гендиректора Infosecurity (ГК Softline) Николая Агринского, маршрутизаторы указанных производителей широко распространены в России и будут потенциальной целью хакеров. Он отметил, что пользователи редко своевременно обновляют прошивки маршрутизаторов, поэтому есть вероятность, что найдётся устройство с уязвимостью. Домашние маршрутизаторы пользуются повышенным интересом хакеров, так как бытовая сеть в отличие от корпоративной защищена только этими недорогими устройствами, рассказал технический директор UiPath Михаил Кондрашин.

Используя уязвимость маршрутизатора, злоумышленники могут атаковать связанные с ним устройства, и, например, направлять их владельцев на вредоносные и фишинговые страницы вместо настоящих, сообщил «Коммерсанту» эксперт «Лаборатории Касперского» Виктор Чебышев. Он отметил, что злоумышленники также могут сделать уязвимые маршрутизаторы частью ботнета и использовать их для осуществления DDoS-атак.

Кроме того, хакеры могут украсть данные, передаваемые в локальной сети, не пускать пользователей на любые ресурсы, либо вставлять рекламу, говорит руководитель отдела анализа приложений Positive Technologies Дмитрий Скляров. По данным TrendMicro, количество атак на маршрутизаторы в 2020 году выросло почти втрое, а количество атакованных устройств — на 30 %.