Một lỗ hổng đã được xác định trong các thiết bị Netgear cho phép bạn thực thi mã của mình bằng quyền root mà không cần xác thực thông qua các thao tác trong mạng bên ngoài ở phía giao diện WAN. Lỗ hổng này đã được xác nhận trong các bộ định tuyến không dây R6900P, R7000P, R7960P và R8000P, cũng như trong các thiết bị mạng lưới MR60 và MS60. Netgear đã phát hành bản cập nhật chương trình cơ sở để sửa lỗ hổng này.
Lỗ hổng này xảy ra do tràn ngăn xếp trong quy trình nền aws_json (/tmp/media/nand/router-analytics/aws_json) khi phân tích dữ liệu ở định dạng JSON nhận được sau khi gửi yêu cầu đến dịch vụ web bên ngoài (https://devicelocation. ngxcld.com/device -location/resolve) được sử dụng để xác định vị trí của thiết bị. Để thực hiện một cuộc tấn công, bạn cần đặt một tệp được thiết kế đặc biệt ở định dạng JSON trên máy chủ web của mình và buộc bộ định tuyến tải tệp này, ví dụ: thông qua giả mạo DNS hoặc chuyển hướng yêu cầu đến nút chuyển tuyến (bạn cần chặn một yêu cầu tới máy chủ devicelocation.ngxcld.com được thực hiện khi thiết bị khởi động). Yêu cầu được gửi qua giao thức HTTPS nhưng không kiểm tra tính hợp lệ của chứng chỉ (khi tải xuống, hãy sử dụng tiện ích cuộn tròn với tùy chọn “-k”).
Về mặt thực tế, lỗ hổng này có thể được sử dụng để xâm phạm thiết bị, chẳng hạn như bằng cách cài đặt một cửa sau để kiểm soát sau này đối với mạng nội bộ của doanh nghiệp. Để tấn công, cần có quyền truy cập ngắn hạn vào bộ định tuyến Netgear hoặc cáp/thiết bị mạng ở phía giao diện WAN (ví dụ: cuộc tấn công có thể được thực hiện bởi ISP hoặc kẻ tấn công đã giành được quyền truy cập vào lá chắn truyền thông). Để minh họa, các nhà nghiên cứu đã chuẩn bị một thiết bị tấn công nguyên mẫu dựa trên bo mạch Raspberry Pi, cho phép một người lấy được root shell khi kết nối giao diện WAN của bộ định tuyến dễ bị tấn công với cổng Ethernet của bo mạch.
Nguồn: opennet.ru