W urządzeniach Netgear zidentyfikowano lukę, która umożliwia wykonanie kodu z uprawnieniami roota bez uwierzytelniania poprzez manipulacje w sieci zewnętrznej po stronie interfejsu WAN. Podatność została potwierdzona w routerach bezprzewodowych R6900P, R7000P, R7960P i R8000P, a także w urządzeniach sieci mesh MR60 i MS60. Netgear wydał już aktualizację oprogramowania sprzętowego, która naprawia lukę.
Luka jest spowodowana przepełnieniem stosu w procesie działającym w tle aws_json (/tmp/media/nand/router-analytics/aws_json) podczas analizowania danych w formacie JSON otrzymanych po wysłaniu żądania do zewnętrznej usługi internetowej (https://devicelocation. ngxcld.com/device -location/resolve) używane do określenia lokalizacji urządzenia. Aby przeprowadzić atak, należy umieścić na swoim serwerze WWW specjalnie zaprojektowany plik w formacie JSON i wymusić na routerze załadowanie tego pliku, na przykład poprzez fałszowanie DNS lub przekierowanie żądania do węzła tranzytowego (należy przechwycić żądanie do hosta Devicelocation.ngxcld.com wykonane podczas uruchamiania urządzenia). Żądanie wysyłane jest protokołem HTTPS, jednak bez sprawdzania ważności certyfikatu (przy pobieraniu należy skorzystać z narzędzia curl z opcją „-k”).
Z praktycznego punktu widzenia lukę można wykorzystać do naruszenia bezpieczeństwa urządzenia, na przykład poprzez zainstalowanie backdoora w celu późniejszej kontroli nad wewnętrzną siecią przedsiębiorstwa. Aby dokonać ataku, konieczne jest uzyskanie krótkotrwałego dostępu do routera Netgear lub do kabla/urządzenia sieciowego po stronie interfejsu WAN (na przykład atak może zostać przeprowadzony przez dostawcę usług internetowych lub osobę atakującą, która uzyskała dostęp do tarcza komunikacyjna). W ramach demonstracji badacze przygotowali prototypowe urządzenie atakujące oparte na płycie Raspberry Pi, które umożliwia uzyskanie powłoki roota podczas podłączania interfejsu WAN podatnego routera do portu Ethernet płyty.
Źródło: opennet.ru