У пристроях Netgear виявлено вразливість, що дозволяє без проходження аутентифікації домогтися виконання свого коду з правами root через маніпуляції зовнішньої мережі на стороні WAN-інтерфейсу. Наявність уразливості підтверджено у бездротових маршрутизаторах R6900P, R7000P, R7960P та R8000P, а також у мережних пристроях для розгортання mesh-мереж MR60 та MS60. Компанія Netgear вже випустила оновлення прошивки з усуненням уразливості.
Вразливість викликана переповненням стека у фоновому процесі aws_json (/tmp/media/nand/router-analytics/aws_json) під час аналізу даних у форматі JSON, отриманих після надсилання запиту до зовнішнього web-сервісу (https://devicelocation.ngxcld.com/device -location/resolve), що використовується для визначення розташування пристрою. Для здійснення атаки необхідно розмістити спеціально оформлений файл у форматі JSON на своєму web-сервері та домогтися завантаження маршрутизатором цього файлу, наприклад, через заміну DNS або перенаправлення запиту на транзитному вузлі (необхідно перехопити запит до хоста devicelocation.ngxcld.com, який здійснюється під час запуску пристрою ). Запит надсилається протоколом HTTPS, але без перевірки коректності сертифіката (при завантаженні використовується утиліта curl з опцією «-k»).
З практичної сторони, вразливість можна використовувати для компрометації пристрою, наприклад, вбудовування бекдору для подальшого контролю за внутрішньою мережею підприємства. Для атаки необхідно отримати короткочасний доступ до маршрутизатора Netgear або до мережного кабелю/обладнання на стороні WAN-інтерфейсу (наприклад, атака може бути здійснена провайдером або зловмисником, який отримав доступ до комунікаційного щита). Як демонстрація дослідниками на базі плати Raspberry Pi підготовлено прототип пристрою для атаки, що дозволяє отримати root shell при підключенні WAN-інтерфейсу вразливого маршрутизатора до ethernet-порту плати.
Джерело: opennet.ru