Простой недостаток внес миллионы домашних и офисных маршрутизаторов в группу риска: устройства стали уязвимы и открыты для возможных удаленных хакерских и кибер-атак.

 Проблема, которая привлекла мировое внимание, заключается в NetUSB. Порт, который дает доступ между маршрутизатором и USB устройством для подключения.

Согласно SEC Consult Vulnerability Lab, Штефану Фихбоку, тайваньское разработанное программное обеспечение Kcodes является главной причиной уязвимости.

В рамках создания соединения, клиент посылает имя своего компьютера. Это то, что становится интересным: клиент может указать длину имени компьютера. Определяя имя длиннее, чем 64 знака, стек буферизует переполнение, когда имя компьютера получено от гнезда. Все кодовые пробеги сервера в ядерном способе, таким образом, это — ‘редкое’ отдаленное ядерное переполнение буфера стека.

У основных производителей маршрутизаторов, таких как Trent Net, TP-LINK и Netgear есть этот компонент в их моделях. Однако, на данный момент только TP-связь отнеслась к этой информации серьезно и обещала участки для 40 из ее устройств.

Извлечь пользу в этой части доступа очень легко — во время процесса идентификации, когда PC связывается с NetUSB, вводится название для опознавания. В то время как сам процесс бесполезен, к данным о шифровании можно легко получить доступ. Весь, что злоумышленник должен сделать дальше это  приобрести доступ переполнения буфера с помощью силы сети, введя имя, превышающее 64 символов..

“Нападавшие в пределах местной локальной сети могут легко использовать эту проблему”, говорит глава SEC Consult Vulnerability Lab Джоханнс Грейл. Хочет ли хакер шпионить или испортить устройство зависит только от него.