Verschillende routers en een door dronesoftware gebruikte webserver zijn kwetsbaar voor aanvallen omdat ze code van chipfabrikant Broadcom hergebruiken, zo stelt Cisco. Onderzoeker Francesco Benvenuto deed onderzoek naar een wifi-router en trof daar kwetsbare code aan waardoor mogelijk memory corruption en het crashen van de webserver die op de router draait mogelijk was.

Dit bleek op de onderzochte router toch niet mogelijk te zijn, maar Benvenuto vermoedde dat de kwetsbare code wel op andere apparaten te misbruiken was. De betreffende code was van FreshTomato, opensource-firmware voor routers met een Broadcom-chip. Verder onderzoek wees uit dat de kwetsbare code waar FreshTomato gebruik van maakt afkomstig van Broadcom zelf is.

Vervolgens zocht Benvenuto onder andere via Google naar andere projecten die van dezelfde code gebruikmaakten. Deze projecten gebruikten de referentie-implementatie van Broadcom waarmee het mogelijk is om een webserver op te zetten. Het ging onder andere om routerfirmware Asuswrt en DD-WRT en de webserver van ArduPilot, software voor het besturen van autonome voertuigen waaronder drones.

Volgens Benvenuto is dergelijke hergebruikte code lastig te vinden, omdat elke project net een iets andere implementatie heeft of geen directe referentie naar de oorspronkelijke implementatie vermeldt. Ontwikkelaars moeten dan ook extra alert zijn op het toevoegen van externe code en functionaliteiten aan hun eigen codebase. En ook beveiligingsonderzoekers moeten beseffen dat een kwetsbaarheid in een bepaalde implementatie zich in allerlei andere software in een iets andere vorm kan voordoen. De kwetsbaarheden zijn inmiddels door de betreffende leveranciers gepatcht.