Slechte UPnP-implementatie in oude Broadcom SDK’s maakt routers kwetsbaar


Onderzoekers van IoT Inspector hebben twee bugs ontdekt in oudere versies van Broadcom’s software development kits (SDK’s). Ze betreffen de implementatie van Universal Plug and Play (UPnP) en vormen blijkbaar nog steeds de basis voor aanvalsmogelijkheden op sommige routers van verschillende fabrikanten. Aangezien Cisco- en Linksys-apparaten waarvan op zijn minst bekend is dat ze zijn getroffen, consequent de end-of-life-status (EoL) hebben bereikt, is het onwaarschijnlijk dat ze nog meer beveiligingsupdates zullen ontvangen.

Destijds communiceerde Broadcom niet transparant over de SDK-bugs die bestonden tussen 2008 en ten minste 2011, die onder bepaalde omstandigheden konden worden misbruikt voor denial-of-service-aanvallen of uitvoering van externe code, maar in plaats daarvan, zoals gesuggereerd door de broncode die is gelekt op GitHub, van nieuwere SDK-versies eenvoudigweg geëlimineerd. Een beveiligingsadvies en CVE-ID’s van Broadcom bestaan ​​niet, bekritiseren de onderzoekers van IoT Inspector in hun gedetailleerd blogbericht over de Broadcom-bugs. Bovendien hadden bedrijven die vervolgens de kwetsbare SDK’s bleven gebruiken en zelf de bugs ontdekten, oplossingen voor hun eigen software ontwikkeld, maar deze niet teruggekoppeld aan Broadcom.

Dus het werd De “Home Hub” van BT Group (toen nog British Telecom), volgens onderzoek van de onderzoekers, al in december 2012 beveiligd tegen ten minste één van de twee gateways. Door het gebrek aan communicatie bleven de afgeluisterde SDK-versies de supply chain echter onveilig maken. Hierdoor is de gratis routerfirmware DD-WRT pas in maart 2021 lost beide beveiligingsproblemen op. In DD-WRT’s advies over CVE-2021-27137 Nogmaals, de Broadcom SDK wordt niet genoemd als de oorzaak van het probleem.

Een illustratie in de IoT Inspector blog geeft een idee van hoe iedereen zijn eigen SDK-soep kookt(en).

(Afbeelding: iot-inspector.com)

De onderzoekers identificeerden de firmware van de volgende apparaten met EoL-status als nog steeds kwetsbaar (of op zijn minst met kwetsbare SDK-code):

  • Cisco Small Business Routers RV110, RV215, RV130 (beide beveiligingsgaten)
  • Linksys E900, E1200, E1500, E2500, E3200 (een van de gaten / heap overflow)
  • Huawei B593 (uitdrukkelijk niet kwetsbaaromdat het kwetsbare uitvoerbare bestand in de praktijk niet wordt gebruikt)

In augustus van dit jaar hebben we een waarschuwing gewijd aan de hiaten in de Cisco-routers. Aangezien Broadcom SDK’s wederom niet worden genoemd en Cisco zijn eigen CVE-ID gebruikt, is het voor buitenstaanders moeilijk, zo niet onmogelijk om parallellen te trekken:

Volgens Iot Inspector heeft Linksys sinds juli 2021 niet gereageerd op twee pogingen om contact met ons op te nemen. Een snelle blik op dat Linksys EoL-overzicht Overigens blijkt dat sommige van de getroffen apparaten niet zo “oud” zijn: de E900- en E1200-modellen waren bijvoorbeeld nog tot eind 2020 in ondersteuning.

Op verzoek van heise Security bevestigde Florian Lukavsky, Managing Director van IoT Inspector, dat door het deactiveren van UPnP mogelijke gevolgen van nog bestaande zwakke punten “verkleind” kunnen worden. Dit wordt echter alleen als tijdelijke maatregel aanbevolen totdat er een nieuw apparaat wordt aangeschaft dat nog door de fabrikant wordt ondersteund.

Broadcom vertelde IoT Inspector dat de afgeluisterde SDK-code “niet werd gebruikt in huidige of bijna huidige apparaten”. De “laatste ongeveer vergelijkbare problemen zijn jaren geleden verholpen” en klanten werden op de hoogte gebracht. Broadcom is de informatie verschuldigd over welke SDK-versies specifiek zijn getroffen. Volgens de IoT-inspecteur maakt dit het op zijn beurt bijzonder moeilijk om getroffen apparaten te identificeren.

Het bedrijf biedt gebruikers een Gratis testoptie voor uw mogelijk getroffen producten, waarvoor registratie met naam en e-mailadres noodzakelijk is. Vervolgens kunt u firmware uploaden en automatisch laten analyseren.

Het onderliggende supply chain-probleem, waarbij apparaatfabrikanten soms ongecontroleerde, kwetsbare code van derden gebruiken en soms bestaande kwetsbaarheden “doorgeven” aan miljoenen eindgebruikers, is al lang bekend. Lukavsky spreekt in dit verband van “copy-paste engineering”. Zijn bedrijf wees voor het laatst op kwetsbaarheden in SDK’s van Realtek die in augustus van dit jaar draadloze SoC’s in apparaten van verschillende fabrikanten aantasten:


(ovw)



Source link

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

%d bloggers liken dit: