Jump to content

Routery Netgeara podatne na zdalne wstrzyknięcie kodu

Rate this topic


openit.center
 Share

Recommended Posts

openit.center

Specjaliści od zabezpieczeń CERT wykryli poważne luki w zabezpieczeniach dwóch high-endowych routerów marki Netgear, które mogą doprowadzić do przejęcia kontroli nad urządzeniem sieciowym. Atak jest niezwykle prosty do wykonania - wystarczy, że użytkownik odwiedzi odpowiednio spreparowany adres w sieci lokalnej. Przejęcia można też dokonać zdalnie, korzystając np. ze „skracaczy” linków i podsyłając zamaskowany odnośnik. W takim przypadku atakujący może wykonać określone komendy z uprawnieniami administratora.

Obecnie CERT potwierdził, że luka występuje w następujących modelach routerów marki Netgear :

  • R6400 z firmware 1.0.1.6_1.0.4
  • R7000 z firmware 1.0.7.2_1.1.93
  • R8000 z firmware 1.0.3.4_1.1.2

Użytkownik, który opublikował poniższy materiał zgłosił ten problem Netgear, jednak nie otrzymał żadnej odpowiedzi :

https://github.com/Acew0rm/Exploits/blob/master/Netgear_R7000.html

Aby upewnić się czy Wasz router działający pod kontrolą Netgear GENIE jest podatny na to zagrożenie wystarczy w przeglądarce :

http://192.168.1.1/cgi-bin/;reboot

Jeśli router wykona w tym momencie operację powtórnego rozruchu (reboot), to znaczy iż może zawierać podatność

Dotychczas nie wiadomo jak zachowują się pozostałe modele tego producenta. CERT wyjaśnia, że obecnie nie można się zabezpieczyć przed atakiem, używając fabrycznego oprogramowania. Należy czekać na łatkę od producenta sprzętu, który jest już świadomy problemu. W międzyczasie specjaliści odradzają korzystania z wymienionych routerów.

W przypadku wymienionych modeli routerów NETGEAR najrozsądniejszym rozwiązaniem wydaje się instalacja alternatywnego oprogramowania - Tomato (modele te są wspierane). 

Więcej informacji : https://www.kb.cert.org/vuls/id/582384

Link to comment
Share on other sites

  • Replies 20
  • Created
  • Last Reply

Top Posters In This Topic

  • house

    9

  • openit.center

    1

  • miko

    4

  • neon

    7

  • Administrator

GENIE jest pisane przez outsourcera w Indiach. Teraz skoro sprawa zrobiła się "publiczna" zapewne zostanie załatana, jednak dziwnym zbiegiem okoliczności wypłynęła w czasie największych świątecznych zakupów :) ... i przez 4 miesiące siedzieli cicho :/ 

2 godziny temu, miko napisał:

W sumie czemu ja się dziwię - to powoli robi się standardem.

dziwię się, że wpadkę zaliczył Netgear. Nie zdziwiłbym się wcale gdyby sprawa dotyczyła D-Link'a 

Link to comment
Share on other sites

  • Administrator

Noszkurrr...., o ile to prawda :) D-link nie jest sam wśród partaczy firmware :)

Wysłane z mojego LG-H960 przy użyciu Tapatalka

Link to comment
Share on other sites

"Normalnie dostajemy się przeglądarką do pliku apply.cgi, ale wystarczy taki sam request zrobić do apply_noauth.cgi i router nie prosi nas o hasło."

Już poprzedni bug sugerował, że może być tego więcej, a ten to już w ogóle pokazuje w jaki sposób prawdopodobnie jest lub było pisane oprogramowanie. Jeżeli już, to takie rzeczy powinny być automatycznie usuwane w ramach produkcyjnej kompilacji firmware przez odpowiedni, dodatkowy skrypt.

Link to comment
Share on other sites

  • Administrator

U Asusa nie kupuje się fajnych routerów, tylko takie które mieszczą się w Twoim budżecie :) tomato dla R7000?

Wysłane z mojego LG-H960 przy użyciu Tapatalka

Link to comment
Share on other sites

  • Administrator
5 minut temu, neon napisał:

Czekać wyłącznie na fix od Netgear?

lub przejść na

3 godziny temu, miko napisał:

Alternatywne oprogramowanie

:) 

Link to comment
Share on other sites

  • 2 weeks later...

To zawsze bardzo na plus. Sam jakbym miał jakiegoś nowszego Netgeara pod ręką, to bym się w wolnych chwilach pobawił (choć nie wiem co by z tego wyszło ;)). Mam nadzieję, że nie będą przeciągać łatania znalezionych dziur w nieskończoność.

Link to comment
Share on other sites

  • 4 weeks later...
  • Administrator

Tym razem nowe podatności, dotyczące przynajmniej 31 modeli urządzeń NETGEAR zagrażające wszystkim tym, którzy udostępnili panel administracyjny routera w publicznej sieci – pozwalają całkowicie ominąć mechanizm uwierzytelnienia. Więcej informacji :

You do not have the required permissions to view links attached to this post.

You do not have the required permissions to view links attached to this post.

 

Link to comment
Share on other sites

  • 1 year later...
  • Administrator

3 x KB :

You do not have the required permissions to view links attached to this post.

You do not have the required permissions to see the code field attached to this post.

You do not have the required permissions to view links attached to this post.

You do not have the required permissions to see the code field attached to this post.

You do not have the required permissions to view links attached to this post.

You do not have the required permissions to see the code field attached to this post.

update firmware, jak zwykle z : 

You do not have the required permissions to view links attached to this post.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue. For more information, please see ours Guidelines and Privacy Policy.