У прыладах Netgear выяўлена ўразлівасць, якая дазваляе без праходжання аўтэнтыфікацыі дамагчыся выкананні свайго кода з правамі root праз маніпуляцыі ў вонкавай сетцы на боку WAN-інтэрфейсу. Наяўнасць уразлівасці пацверджана ў бесправадных маршрутызатарах R6900P, R7000P, R7960P і R8000P, а таксама ў сеткавых прыладах для разгортвання mesh-сетак MR60 і MS60. Кампанія Netgear ужо выпусціла абнаўленне прашыўкі з ухіленнем уразлівасці.
Уразлівасць выклікана перапаўненнем стэка ў фонавым працэсе aws_json (/tmp/media/nand/router-analytics/aws_json) пры разборы дадзеных у фармаце JSON, атрыманых пасля адпраўкі запыту да знешняга web-сэрвісу (https://devicelocation.ngxcld.com/device -location/resolve), які выкарыстоўваецца для вызначэння месцазнаходжання прылады. Для здзяйснення нападу неабходна размясціць адмыслова аформлены файл у фармаце JSON на сваім web-серверы і дамагчыся загрузкі маршрутызатарам гэтага файла, напрыклад, праз падмену DNS або перанакіраванні запыту на транзітным вузле (неабходна перахапіць запыт да хаста devicelocation.ngxcld.com, які здзяйсняецца пры запуску прылады ). Запыт адпраўляецца па пратаколе HTTPS, але без праверкі карэктнасці сертыфіката (пры загрузцы выкарыстоўваецца ўтыліта curl з опцыяй -k).
З практычнага боку, уразлівасць можна выкарыстоўваць для кампраметацыі прылады, напрыклад, убудавання бэкдора для наступнага кантролю над унутранай сеткай прадпрыемства. Для нападу неабходна атрымаць кароткачасовы доступ да маршрутызатара Netgear або да сеткавага кабеля/абсталяванні на боку WAN-інтэрфейсу (напрыклад, напад можа быць здзейснена правайдэрам або зламыснікам, які атрымаў доступ да камунікацыйнага шчыта). У якасці дэманстрацыі даследнікамі на базе платы Raspberry Pi падрыхтаваны прататып прылады для нападу, які дазваляе атрымаць root shell пры падлучэнні WAN-інтэрфейсу ўразлівага маршрутызатара да ethernet-порту платы.
Крыніца: opennet.ru