Onderzoekers hebben via een nieuw systeem voor het analyseren van firmware onbekende kwetsbaarheden in de routers van D-Link en Netgear ontdekt. Het systeem heet FIRMADYNE en wordt omschreven als het eerste geautomatiseerde dynamische analysesysteem voor Linux-gebaseerde firmware van netwerkapparaten zoals routers. Voor hun onderzoek analyseerden de onderzoekers bijna 9500 firmware-images met 74 exploits.

Het ging om 60 bekende aanvallen en 14 onbekende aanvallen. 887 firmware-images, gebruikt voor tenminste 89 verschillende apparaten, bleken voor tenminste één van de gebruikte exploits kwetsbaar te zijn. Het gaat onder andere om de voorheen onbekende kwetsbaarheden die via het systeem werden gevonden. Deze 14 beveiligingslekken werden in 86 firmware-images van tenminste veertien verschillende producten aangetroffen. Het onderzoek laat verder zien dat elf van de geteste aanvallen in de firmware-images van meer dan één leverancier werken, wat inhoudt dat fabrikanten code delen.

Het onderzoek (pdf) werd onlangs tijdens het Network and Distributed System Security Symposium (NDSS) gepresenteerd. Via de onbekende kwetsbaarheden zou een aanvaller onder andere commando's kunnen injecteren, een buffer overflow kunnen veroorzaken en informatie zoals WPS-pincode en wachtwoorden van wifi-netwerken achterhalen.

De onderzoekers waarschuwden zowel D-Link als Netgear, maar kregen alleen van Netgear een reactie. Het bedrijf komt eind februari voor één van de kwetsbare routers met een firmware-update. De overige apparaten zullen waarschijnlijk halverwege maart worden gepatcht. Door de ontwikkeling van FIRMADYNE hopen de onderzoekers de drempel voor het vinden van nieuwe kwetsbaarheden in routers en andere embedded-systemen te verlagen. Daarnaast helpt het systeem om de aanwezigheid van nieuwe kwetsbaarheden in een groot aantal firmware-images te bepalen.