En mars dernier, une alerte de faille concernant plus de 700 000 routeurs ADSL avait été émise par le chercheur en sécurité Kyle Lovett. Aujourd'hui, une autre vulnérabilité met en danger cette fois des millions de routeurs. Cette dernière a été localisée dans le service NetUSB qui permet à des terminaux connectés en USB à un ordinateur d'être partagés avec d'autres machines connectées sur un réseau local ou sur Internet via IP. Les terminaux partagés peuvent être aussi bien des imprimantes que des webcams, des disques durs externes...

NetUSB est implémenté dans des noyaux systèmes basés sur Linux, comme des routeurs. Ce driver est développé par la société taïwanaise KCodes Technology. Une fois activé, il permet à un serveur d'écouter tout le trafic TCP sur le port 20005 où se connectent les clients. Les chercheurs en sécurité de la société Sec Consult ont trouvé qu'un dépassement de mémoire tampon peut être déclenché dans le service NetUSB. Si elle est exploitée, cette vulnérabilité peut alors déboucher sur l'exécution de code distant ou d'un déni de service. A partir de ce moment, les pirates sont en mesure d'exploiter la vulnérabilité pour avoir la possibilité d'exécuter du code malveillant sur les terminaux affectés en obtenant le plus haut niveau de privilège, ont indiqué les chercheurs de Sec Consult dans un blog.

Une désactivation possible de NetUSB depuis l'interface d'administration

Beaucoup de vendeurs intègrent NetUSB dans leurs produits mais l'appellent différemment. Par exemple Netgear appelle cette fonction ReadySHARE alors que d'autres le nomment simplement partage d'impression ou partage de port USB. Sec Consult a confirmé la vulnérabilité dans les routeurs TP-Link TL-WDR4300 V1, TP-Link WR1043ND v2 et Netgear WNDR4500. Cependant, après avoir scanné les images des micrologiciels d'autres fabricants pour détecter la présence du driver NetUSB.ko, les chercheurs pensent que 92 autres produits en provenance de D-Link, Netgear, TP-Link, Trendnet et ZyXEL Communications sont sans doute vulnérables. Le centre de coordination du CERT a été prévenu tout comme leurs branches allemande et autrichienne qui sont à pied d'oeuvre pour prévenir les fournisseurs.

Sur certains terminaux, les utilisateurs ont la possibilité de désactiver la fonction NetUSB depuis l'interface web d'administration ou de bloquer les accès à ce port via leur pare-feu. A ce jour, selon Sec Consult, seul TP-Link a fourni des correctifs pour combler la faille NetUSB dans une quarantaine de ses produits.