Ένας ερευνητής ασφάλειας ανακάλυψε συνολικά 11 σοβαρές ευπάθειες σε πρόσφατες ενημερώσεις υλικολογισμικού για τους δρομολογητές Netgear Nighthawk. Τα τρωτά σημεία έχουν διορθωθεί από το Netgear. Για παράδειγμα, οι δρομολογητές αποθηκεύουν ονόματα χρήστη και κωδικούς πρόσβασης σε απλό κείμενο.
Τα τρωτά σημεία που βρήκε ο ερευνητής Jimi Sebree της εταιρείας ασφαλείας Tenable είναι στο Nighthawk R6700v3 AC1750-firmware έκδοση 1.0.4.120 και στο Nighthawk RAX43, έκδοση υλικολογισμικού 1.0.3.96. Τα τρωτά σημεία ποικίλλουν, αλλά είναι όλα σοβαρά έως κρίσιμα σύμφωνα με τον ερευνητή, και επιπλέον δεν έχουν επιδιορθωθεί όλα από το Netgear.
Η πιο κρίσιμη ευπάθεια έχει καταχωρηθεί ως CVE-2021-45077 για το RS6700 και CVE-2021-1771 για το RAX43. Οι δρομολογητές αποθηκεύουν ονόματα χρήστη και κωδικούς πρόσβασης για τη συσκευή και τις παρεχόμενες υπηρεσίες σε απλό κείμενο στους δρομολογητές, επίσης ο κωδικός πρόσβασης διαχειριστή είναι σε απλό κείμενο στο κύριο αρχείο διαμόρφωσης του δρομολογητή, Γράφει ο Sebree στην ιστοσελίδα του.
Επιπλέον, υπάρχει κίνδυνος να υποκλαπούν αυτά τα ονόματα χρήστη και κωδικοί πρόσβασης. Στο RS6700v3, επειδή οι δρομολογητές τυπική χρήση HTTPκαι, αντί για Https, για όλη την επικοινωνία με τη διεπαφή ιστού. Επίσης η διεπαφή SOAP, στη θύρα 5000, χρησιμοποιεί HTTP για επικοινωνία, επιτρέποντας την υποκλοπή των κωδικών πρόσβασης και των ονομάτων χρήστη.
Διεπαφή SOAP
Επιπλέον, ο δρομολογητής είναι ευάλωτος στην εντολή έγχυσης από ένα σφάλμα εισαγωγής εντολής μετά τον έλεγχο ταυτότητας στο λογισμικό ενημέρωσης της συσκευής. Η ενεργοποίηση ενός ελέγχου ενημέρωσης μέσω της διεπαφής SOAP αφήνει τη συσκευή ευάλωτη στην εξαγορά μέσω προρυθμισμένων τιμών. Επίσης, η κονσόλα UART ανεπαρκώς προστατευμένο, το οποίο επιτρέπει σε οποιονδήποτε έχει φυσική πρόσβαση στη συσκευή μέσω της θύρας UART να συνδέεται και να εκτελεί εργασίες ως χρήστης root χωρίς έλεγχο ταυτότητας.
Επίσης, ο δρομολογητής χρησιμοποιεί σκληρά κωδικοποιημένα διαπιστευτήρια για ορισμένες ρυθμίσεις, έτσι ώστε ο χρήστης να μην μπορεί κανονικά να προσαρμόσει ορισμένες ρυθμίσεις ασφαλείας. Αυτά είναι κρυπτογραφημένα, αλλά σύμφωνα με τους ερευνητές σχετικά εύκολο να βρεθεί με δημόσια διαθέσιμα εργαλεία, που επιτρέπουν την προσαρμογή των ρυθμίσεων από οποιονδήποτε έχει πρόσβαση στο δρομολογητή. Επιπλέον, ο δρομολογητής εκμεταλλεύεται αρκετά γνωστά τρωτά σημεία στις βιβλιοθήκες jQuery και στο minidlna.exe, ενώ είναι διαθέσιμες πιο πρόσφατες εκδόσεις.
Netgear Nighthawk R6700
Τα τρωτά σημεία στο RS6700 έχουν βαθμολογία CVE 7.1 σε κλίμακα από το 1 έως το 10. Αυτό είναι σοβαρό, αλλά όχι κρίσιμο. Ο κύριος λόγος είναι ότι ένας εισβολέας πρέπει να έχει φυσική πρόσβαση στο δρομολογητή για να εκμεταλλευτεί τα τρωτά σημεία. Επιπλέον, η εκμετάλλευση των τρωτών σημείων στη διεπαφή SOAP είναι δυνατή μόνο εάν ένας εισβολέας είναι ήδη συνδεδεμένος. Τα τρωτά σημεία για το RAX43 έχουν βαθμολογία 8.8 στα 10.
Το RAX43 χρησιμοποιεί επίσης HTTP από προεπιλογή, γράφει ο Sebree, και χρησιμοποιεί τις ίδιες κακές βιβλιοθήκες jQuery και την ευάλωτη έκδοση του minidlna.exe. Επιπλέον, το υλικολογισμικό RAX43 έχει μια ευπάθεια που προκαλείται από δύο σφάλματα. Η πρώτη είναι μια ευπάθεια υπέρβασης buffer, η δεύτερη μια ευπάθεια έγχυσης εντολών. Ο συνδυασμός των δύο επιτρέπει σε κάποιον να εκτελεί απομακρυσμένες εργασίες ως root, χωρίς έλεγχο ταυτότητας.
Netgear Nighthawk RAX43
Ο Sebree γράφει ότι η Tenable έχει ειδοποιήσει τη Netgear για τα τρωτά σημεία στις 30 Σεπτεμβρίου. Αν και η Netgear αρχικά απάντησε στην αναφορά για τα τρωτά σημεία στις αρχές Οκτωβρίου, χρειάστηκε πολύς χρόνος μέχρι να γίνει οτιδήποτε γι' αυτό. 29 Δεκεμβρίου, Netgear βάλτε μια προειδοποίηση για τα τρωτά σημεία στο διαδίκτυο. Υπάρχουν και τώρα ενημερώσεις υλικολογισμικού τόσο δρομολογητές που τοποθετούνται στο διαδίκτυο. Ο Sebree αποφάσισε στις 30 Δεκεμβρίου να αποκαλύψει τα τρωτά σημεία με το πρόσχημα της υπεύθυνης αποκάλυψης, παρόλο που η Netgear δεν έχει ακόμη προωθήσει ενεργά τις ενημερώσεις υλικολογισμικού στους χρήστες.
Το Nighthawk RS6700 είναι μια σειρά δρομολογητών που στοχεύουν κυρίως στην οικιακή χρήση. Αναφέρεται ως AC1750 Smart WiFi Router στο Pricewatch και είναι διαθέσιμο από τις 31 Ιουλίου 2019. Τα τρωτά σημεία βρίσκονται στο τρίτη έκδοση του δρομολογητή. Το RAX43 είναι διαθέσιμο από τις 30 Δεκεμβρίου 2020.