The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Уязвимость в маршрутизаторах Netgear, приводящая к удалённому выполнению кода

14.11.2022 13:26

В устройствах Netgear выявлена уязвимость, позволяющая без прохождения аутентификации добиться выполнения своего кода с правами root через манипуляции во внешней сети на стороне WAN-интерфейса. Наличие уязвимости подтверждено в беспроводных маршрутизаторах R6900P, R7000P, R7960P и R8000P, а также в сетевых устройствах для развёртывания mesh-сетей MR60 и MS60. Компания Netgear уже выпустила обновление прошивки с устранением уязвимости.

Уязвимость вызвана переполнением стека в фоновом процессе aws_json (/tmp/media/nand/router-analytics/aws_json) при разборе данных в формате JSON, полученных после отправки запроса к внешнему web-сервису (https://devicelocation.ngxcld.com/device-location/resolve), используемому для определения местоположения устройства. Для совершения атаки необходимо разместить специально оформленный файл в формате JSON на своём web-сервере и добиться загрузки маршрутизатором этого файла, например, через подмену DNS или перенаправления запроса на транзитном узле (необходимо перехватить запрос к хосту devicelocation.ngxcld.com, осуществляемый при запуске устройства). Запрос отправляется по протоколу HTTPS, но без проверки корректности сертификата (при загрузке используется утилита curl с опцией "-k").

С практической стороны, уязвимость можно использовать для компрометации устройства, например, встраивания бэкдора для последующего контроля над внутренней сетью предприятия. Для атаки необходимо получить кратковременный доступ к маршрутизатору Netgear или к сетевому кабелю/оборудованию на стороне WAN-интерфейса (например, атака может быть совершена провайдером или злоумышленником, получившим доступ к коммуникационному щиту). В качестве демонстрации исследователями на базе платы Raspberry Pi подготовлен прототип устройства для атаки, позволяющий получить root shell при подключении WAN-интерфейса уязвимого маршрутизатора к ethernet-порту платы.

  1. Главная ссылка к новости (https://hdwsec.fr/blog/2022110...)
  2. OpenNews: Уязвимости в устройствах NETGEAR, позволяющие получить доступ без аутентификации
  3. OpenNews: 0-day уязвимость в устройствах Netgear, позволяющая удалённо получить root-доступ
  4. OpenNews: Уязвимости, позволяющие захватить управление коммутаторами Cisco, Zyxel и NETGEAR на чипах RTL83xx
  5. OpenNews: Уязвимость в устройствах Netgear, позволяющая получить управление без аутентификации
  6. OpenNews: В маршрутизаторах Netgear выявлена уязвимость, позволяющая узнать пароль входа
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/58112-netgear
Ключевые слова: netgear, router
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (61) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, КО (?), 13:31, 14/11/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +11 +/
    router-analytics/aws_json
    Это просто прекрасно.
     
     
  • 2.17, Аноним (17), 15:01, 14/11/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Уязвимость ... в фоновом процессе aws_json ... при разборе данных в формате JSON, полученных после отправки запроса к внешнему web-сервису, используемому для определения местоположения устройства

    А кто-нибудь может объяснить, зачем это на роутере?!

     
     
  • 3.21, Уходящий (?), 15:33, 14/11/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ну наверно потому что модно и негласно. Никакими протоколами маршрутизации этого не предусмотрено и должно быть отключено еще до подключения.
     
     
  • 4.30, arisu (ok), 17:21, 14/11/2022 [^] [^^] [^^^] [ответить]  
  • +10 +/
    — бабушка-бабушка, а зачем у тебя такая большая аналитика?
    — а это чтобы лучше тебя обслуживать, внучка!
     
  • 2.20, Аноним (20), 15:14, 14/11/2022 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Это не дыра а технологическое отверстие в аналитике, между прочим. Странно что инженерный пароль не забыли в очередной раз.
     
     
  • 3.45, YetAnotherOnanym (ok), 23:02, 14/11/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не забыли. Всё что надо - на месте.
     

  • 1.2, Жироватт (ok), 13:38, 14/11/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > полученных после отправки запроса к внешнему web-сервису [...] используемому для определения местоположения устройства.

    Хм-м-м, а зачем им в принципе географическое положение устройства знать нужно? Админы, объясните?

     
     
  • 2.4, Аноним (4), 13:52, 14/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Что бы выслать карательный^W спасательный отряд, когда обращение в поддержку содержит: "ничего не работает", "нету интернета", "раньше не нужно было перезагружать".
     
     
  • 3.22, Уходящий (?), 15:36, 14/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А в ответ прибудет такая-же железяка, который не понимает человеческий язык пострадавшего, а только бинарный. )
     
  • 3.34, Аноним (34), 17:58, 14/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Аналитический отряд стелс-пихоты же.
     
  • 2.5, Аноним (5), 13:54, 14/11/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Например чтобы без запроса у админа, по IP выставлять в устройстве правильное время и часовой пояс.
    Или язык интерфейса. Но это дичь такое реализовать.
     
     
  • 3.9, Аноним (4), 14:00, 14/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Я бы еще предложил так активировать-деактивировать роутеры привязанные по странам. Что-то вроде "только для Китая", "только для Индии", "только для ЕС".
    Но вроде пока-что такого не припомню, либо сам не сталкивался еще.
     
     
  • 4.23, Уходящий (?), 15:38, 14/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Это даже не предположение а замаскированный под моду вектор атаки.
     
  • 3.19, Аноним (17), 15:09, 14/11/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > по IP выставлять в устройстве правильное время

    Это же полный бред. Вот у меня сейчас geoip ошибается на неск-ко часовых поясов.

     
     
  • 4.41, Аноним (41), 21:46, 14/11/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Потому, что твой картофельный провайдер держит тебя за дурака^W NAT. Попросись в настоящий Интернет, что ли.
     
     
  • 5.56, Аноним (56), 11:52, 15/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Это кто ж картофельный NETGEAR в настоящий интернет пустит? За нат-ом ему самое место.
     
  • 2.48, Аноним (48), 04:57, 15/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    в альтернативной прошивке FreshTomato отправка геоданных(можно отключить) сделана для статистики в каких странах сколько установок
     
  • 2.57, Аноним (57), 12:01, 15/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >Хм-м-м, а зачем им в принципе географическое положение устройства знать нужно? Админы, объясните?

    Чтобы нарушители санкций не могли продавать эти роутеры в Иран, Северную Корею, и какие-то там ещё страны.

     

  • 1.3, Аноним (5), 13:45, 14/11/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >используемому для определения местоположения устройств

    лолшто? Это похуже уязвимости, для которой нужно еще жертве устроить подмену днс на WAN интерфейсе.

     
     
  • 2.6, Аноним (4), 13:55, 14/11/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Зато не потеряешь свой роутер, всегда на карте его последнее местоположение можно глянуть =)
     
     
  • 3.8, Аноним (5), 13:57, 14/11/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Круто, а то постоянно теряю то флешки, то роутеры.
     
     
  • 4.10, Аноним (4), 14:02, 14/11/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Помнится были истории как люди сервера теряли в стенах, а потом находили через годы.

    Так что в каждой шутке есть доля шутки.

     
     
  • 5.24, Уходящий (?), 15:44, 14/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    ага, и уже тогда была негласная геолокация и интернет службы ее поддерживающие. Или нетгировцы настолько прозорливые в отношение склероза персонала? )
     
  • 5.51, pofigist (?), 10:06, 15/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    AS/400 так потерять можно, а вот для Netgear это фантастика.
     

  • 1.7, Аноним (7), 13:56, 14/11/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > по протоколу HTTPS, но без проверки корректности сертификата

    HTTPS курильщика.

     
     
  • 2.12, Liin (ok), 14:29, 14/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Забавно, когда сетевые компании кладут такой огромный болт на безопасность и не проверяют сертификаты. Совсем никакого контроля качества. А ведь банальная привязка к известным сертификатам серьезно снижает опасность подобных атак.
     
     
  • 3.15, Аноним (15), 14:48, 14/11/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Все у них в порядке с безопасностью. Просто нужно понимать, что они заботятся не о вашей безопасности, а о безопасности своих доходов. Но в каждой новости находится чудо, которое недоумевает - как же так?!  :)
     
     
  • 4.16, Liin (ok), 14:51, 14/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Все у них в порядке с безопасностью. Просто нужно понимать, что они
    > заботятся не о вашей безопасности, а о безопасности своих доходов. Но
    > в каждой новости находится чудо, которое недоумевает - как же так?!
    >  :)

    Одно с другим связано - меньше безопасность => меньше доходы. Это ж логично :)

     
     
  • 5.18, Онаним. (?), 15:06, 14/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Да ладно, меньше. Почти вся ЦА о том, что там проблема, не узнает в принципе.
     
  • 5.31, arisu (ok), 17:24, 14/11/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Одно с другим связано - меньше безопасность => меньше доходы. Это ж
    > логично :)

    охлол. эту самую «безопасность» совершенно не надо реализовывать, достаточно просто декларировать. лецэнкрипт вон так и сделали — и все схавали, каждый месяц добавки просят.

     
     
  • 6.50, летсшиткрипт (?), 09:30, 15/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А кто не успеет попросить вовремя - ну и сидит без своего сайтика, пока не одумаетсо.

    (Но просто декларировать, разумеется, не, недостаточно. Если бы вредители из startssl и китайцы продолжали нагло раздавать аж годичной годности сертификаты забесплатно, мы бы так не взлетели. Пришлось их немного того... как небезопастных и мешающих всеобщему щастью.)

     
     
  • 7.59, arisu (ok), 13:19, 15/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > А кто не успеет попросить вовремя - ну и сидит без своего
    > сайтика, пока не одумаетсо.

    да не в этом проблема, в принципе. лецэнкрипт сделал штуку намного хуже: он сломал единственную вещь, которая в ssl/tls была хоть отдалённо похожа на секурити — возможность проверить фингерпринт сертификата вручную, получив его по стороннему каналу. потому что никто не будет бегать каждый месяц за новыми фингерпринтами. а это был единственный метод удостовериться, что сайт не обманка (корневикам потому что никакой веры нет).

    и что характерно — за эту диверсию народ превозносит лецэнкрипт как «улучшателей безопасности интернетов». это, в принципе, всё, что имеет смысл знать о современном состоянии «секурити».

     
     
  • 8.61, летсшиткрипт (?), 17:57, 15/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    или хотя бы просто заранее, как мы это делаем с тем же ssh никто в здравом уме... текст свёрнут, показать
     
     
  • 9.62, arisu (ok), 08:14, 16/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    зато отлично поможет подсунуть митм ради чего всё и затевалось ... текст свёрнут, показать
     
  • 2.25, Уходящий (?), 15:46, 14/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    а какого авторити прошивать в железяку? Без этого любой сертификат будет самоподписанным.
     
     
  • 3.35, пох. (?), 18:08, 14/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А никакого. Вполне достаточно просто проверять...банальное совпадение сертификата.
    (попутно послав подальше всяких любителей собирать логи)
    При этом еще и вполне можно было бы забить болт на идиотские модные тренды с сертфикатами сроком действия две недели и прочую "заботу".  Это ж собственный сервер нетжыра.

    Сюрприз, да? Правда, curl скорее всего так не умеет.

    А авторити имеют свойства внезапно протухать, как это надысь вон произошло и с тем, которым был cross-signed пресловутый openssl (и внезапно выяснилось что все модные-современные библиотеки неспособны при этом использовать альтернативную цепочку)

    Что для прошитого в железку несколько нехороший вариант. Впрочем, учитывая что проблема не в сертификате вовсе, и сама эта фича - ненужно-геолокация, и так неплохо получилось.

     
     
  • 4.52, n00by (ok), 10:19, 15/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > А никакого. Вполне достаточно просто проверять...банальное совпадение сертификата.

    Почему приходится объяснять подобные банальности? Это результат чрезмерного увлечения СПО, а стало быть и халявой?

     
     
  • 5.53, пох. (?), 10:41, 15/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Иногда я начинаю верить в рептилоидные происки.
    Чаще, конечно, просто на всякий случай поклоняюсь господам нашим.

    Но таки да - у curl при всем изобилии совершенно феерического мусора - такой простой фичи - нет.

    Шва6одкиное по такое вот шва6одкиное. Полагаю, если ты даже осилишь в этой лапше разобраться и пришлешь им патч - его не заметят, потеряют, найдут фатальный недостаток - выберите любые четыре причины из трех.

     
     
  • 6.63, n00by (ok), 09:59, 16/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Иногда я начинаю верить в рептилоидные происки.

    Так вот этот Уходящий, он же Исчезающий - сам про себя заявил "имя мне Легион". :) Он, конечно, какую-то свою под это подводит философию, но если знать источник той фразы, то всё сходится. Раньше были черти, теперь рептилоиды. :)

     
  • 2.40, Аноним (40), 21:15, 14/11/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ребята походу не осилили сначала выставить время в железке, а потом ломится в https, и проверки обламывались, потому, что "сертификат еще не валиден". (после включения питания время там скорее всего 1 января какого нибудь 2010 года. и решили не заморачиваться, а не проверять вообще ничего.
     
     
  • 3.42, Аноним (41), 21:51, 14/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Чтобы выставить время нужно… сначала выставить время. Без доверия к источнику времени TLS превращается в вектор для DoS. А без точного времени невозможно провалидировать источник точного времени.
     
     
  • 4.46, Аноним (40), 23:30, 14/11/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Для получения времени https вообще не нужен. вот совсем. абсолютно.
    и временная зона не нужна. всё время выставляется по ntp по utc.
    А временная зона это для пользователя, чтобы ему удобно время в логах видеть. для показать и всё. Это можно и после получения точного времени настроить. (уж если зачем то надо)
     
     
  • 5.58, Аноним (57), 12:04, 15/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    NTP (обычно) работает через UDP, который часто заблокирован.
     

  • 1.11, Аноним (11), 14:11, 14/11/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Мда... очередное переполнение стека...
     
     
  • 2.14, Аноним (14), 14:40, 14/11/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Зачем программисты только и делают такие маленькие стеки, что они постоянно переполняются‽

    #УдаримПоПереполнениямБольшимиСтеками

     
     
  • 3.29, X86 (ok), 16:33, 14/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Нам бы стеки взять и отменить
     
     
  • 4.37, НяшМяш (ok), 19:12, 14/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Есть же куча скриптоты на куче )
     
  • 2.27, Аноним (27), 16:15, 14/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    С кем не бввает...
     

  • 1.26, Аноним (26), 15:54, 14/11/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    даже зонды нормально сделать не могут. ойти, такое ойти
     
  • 1.28, X86 (ok), 16:33, 14/11/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Дырявые маршрутизаторы, хорошо, что избавился...
     
  • 1.32, name (??), 17:30, 14/11/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Netgear параша глюкавая же. Этим серьезно кто-то пользуется? Я по незнанию купил себе роутер. Он включается минут 10, пинькает чето своими огоньками. Как, объясните мне, роутер может бутиться 10 минут, а? А потом еще вырубает вифи и все портит, что его раз в 3 дня ребутить надо и не факт, что с 1 ребута заработает.
     
     
  • 2.36, qwe (??), 19:10, 14/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ну я использую. Как железка меня устраивает, а родную прошивку я снес сразу же.
     

  • 1.33, Аноним (34), 17:57, 14/11/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >router-analytics/aws_json

    Аналитика оправдала своё название.

     
  • 1.38, Ананоним (?), 20:29, 14/11/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    На "моём" роутере от Huawei в настройках есть галка отключения UPnP. Отключил это. Но страницу инфы с серийниками и прочим роутер всё равно отдаёт по UPnP. Ибо нефиг скрываться от аналитики-телеметрии винды и прочих ОС и программ :)
     
  • 1.43, Аноним (43), 22:14, 14/11/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Любой SOHO маршрутизатор имеет уязвимости. Просто некоторые модели распространены больше, и больше людей ищут уязвимости, и, соответственно, находят.

    Если в чьём-то любимом домашнем роутере до сих пор не нашли "дыр" — это как в анекдоте про "Неуловимого Джо", которого до сих пор не поймали, потому что он никому не нужен.

     
     
  • 2.54, пох. (?), 10:44, 15/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Любой SOHO маршрутизатор имеет уязвимости.

    у вас какая-то бнобня латинницей вкралась после слова "любой".

    А так все верно. Кожанным мешкам вообще свойственно допускать ошибки. А учитывая еще и нео-рабовладельческий строй, когда хозяевам денег пофигу на качество, а раб ничего не может решать - результат довольно предсказуем.

     
     
  • 3.64, Александр (??), 11:22, 16/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    SOHO - https://en.wikipedia.org/wiki/Small_office/home_office
     
     
  • 4.66, Аноним (66), 16:46, 17/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Бесполезно давать ссылки.
    Этот крутой специалист в IT не умеет пользоваться Google и не читает по-английски.
    Кстати, он и по-русски пишет с ошибками.
     
  • 2.60, Аноним (60), 17:17, 15/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ну говорить о гипотетических уязвимостях одно дело. О ненайденных тоже слишком широкая выборка. А вот если бв речь шла о конторской прошивке это могло бы быть близко к реальности.
    Но никто не запрещает ежедневно обновлять OpenWRT скриптами по ночам.
    Если не нашли дыр значит прошивка обновлена.
    Актуальность обновлений зависит от разработчиков ядра, портирования в старые стабильные ядра исправлений безопасност и сборки прошивок на основе свежих версий программного обеспечения.
     

  • 1.55, YetAnotherOnanym (ok), 10:57, 15/11/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Честно говоря, когда мне в руки в первый раз попал нетгировский сохо-роутер, я тоже прифигел от необходимости набрать в адресной строке "remote-чего-то-там.net". С тех пор нетгир у меня в чёрном списке.
     
  • 1.65, InuYasha (??), 19:55, 16/11/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Разве это маршрутизаторы?.. А я, уж, было, занервничал...
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру