Ua loaʻa i kahi mea noiʻi palekana he 11 mau mea koʻikoʻi koʻikoʻi i nā mea hou firmware hou no nā mea hoʻokele Netgear Nighthawk. Ua hoʻopili ʻia nā mea nāwaliwali e Netgear. No ka laʻana, mālama nā mea ala i nā inoa inoa a me nā ʻōlelo huna ma ka plaintext.
ʻO nā nāwaliwali i loaʻa i ka mea noiʻi ʻo Jimi Sebree o ka hui palekana ʻo Tenable ma Nighthawk R6700v3 AC1750-mea paʻa paʻa 1.0.4.120 a ma ka Nighthawk RAX43, firmware version 1.0.3.96. ʻOkoʻa nā nāwaliwali, akā koʻikoʻi nā mea a pau e like me ka mea noiʻi, a ʻaʻole hoʻi i hoʻopaʻa ʻia e Netgear.
Hoʻopaʻa inoa ʻia ka nāwaliwali koʻikoʻi ma CVE-2021-45077 no ka RS6700 a me CVE-2021-1771 no ka RAX43. Mālama nā mea ala i nā inoa inoa a me nā ʻōlelo huna no ka hāmeʻa a hāʻawi i nā lawelawe ma ka plaintext ma nā mea ala, a ʻo ka ʻōlelo huna hoʻi i loko o ka plaintext i ka faila hoʻonohonoho mua o ke alalai, Kākau ʻo Sebree ma kāna pūnaewele.
Eia kekahi, aia ka pilikia e hoʻopili ʻia kēlā mau inoa inoa a me nā ʻōlelo huna. I ka RS6700v3, no ka mea, ʻo nā mea ala hoʻohana HTTP maʻamaua, ma kahi o Https, no ke kamaʻilio ʻana me ke kikowaena pūnaewele. A me ka SOAP interface, ma ke awa 5000, hoʻohana i ka HTTP no ke kamaʻilio, e ʻae ana i nā ʻōlelo huna a me nā inoa inoa e hoʻopaʻa ʻia.
SOAP interface
Eia kekahi, pilikia ke alalai i ke kauoha injection e he hewa hoʻokomo kauoha ma hope o ka hōʻoia ʻana i ka polokalamu hoʻohou o ka mea. ʻO ka hoʻoulu ʻana i kahi loiloi hou ma o ka SOAP interface e haʻalele i ka hāmeʻa i hiki ke lawe ʻia ma o nā waiwai i hoʻonohonoho mua ʻia. Eia kekahi, ʻo ka console UART pale pono ole, ka mea e hiki ai i kekahi me ke komo kino i ka mea ma o ka UART awa e hoʻohui a hana i nā hana ma ke ʻano he kumu hoʻohana me ka ʻole o ka hōʻoia.
Eia kekahi, hoʻohana ka mea alalai i nā hōʻoia paʻa paʻa no kekahi mau hoʻonohonoho, i hiki ʻole i ka mea hoʻohana ke hoʻololi maʻamau i kekahi mau hoʻonohonoho palekana. Hoʻopili ʻia kēia mau mea, akā e like me ka poʻe noiʻi maʻalahi ka loaʻa me nā mea hana i loaʻa i ka lehulehu, e ʻae ana i nā hoʻonohonoho e hoʻoponopono ʻia e kekahi me ke komo i ke alalai. Eia kekahi, hoʻohana ka mea alalai i kekahi mau nāwaliwali i ʻike ʻia ma nā hale waihona puke jQuery a me minidlna.exe, ʻoiai e loaʻa ana nā mana hou.
Netgear Nighthawk R6700
Loaʻa i nā nāwaliwali o ka RS6700 ka helu CVE o 7.1 ma kahi pālākiō o 1 a 10. He koʻikoʻi kēlā, akā ʻaʻole koʻikoʻi. ʻO ke kumu nui, pono e loaʻa i ka mea hoʻouka ke komo kino i ke alalai no ka hoʻohana ʻana i nā nāwaliwali. Eia kekahi, hiki ke hoʻohana i nā nāwaliwali o ka SOAP interface inā ua komo mua ka mea hoʻouka.
Hoʻohana pū ka RAX43 i ka HTTP ma ka paʻamau, kākau ʻo Sebree, a me ka hoʻohana ʻana i nā hale waihona puke jQuery maikaʻi ʻole a me ka mana palupalu o minidlna.exe. Eia kekahi, ʻo ka RAX43 firmware kahi nāwaliwali i hoʻokumu ʻia e nā pōpoki ʻelua. ʻO ka mea mua he haʻahaʻa haʻahaʻa haʻahaʻa, ʻo ka lua he nāwaliwali kauoha injection. ʻO ka hoʻohui ʻana i nā mea ʻelua e hiki ai i kekahi ke hana i nā hana mamao e like me ke kumu, me ka ʻole o ka hōʻoia.
ʻO Netgear Nighthawk RAX43
Ua kākau ʻo Sebree ua haʻi aku ʻo Tenable iā Netgear i nā mea palupalu ma Sepatemaba 30. ʻOiai ua pane mua ʻo Netgear i ka hōʻike o nā nāwaliwali i ka hoʻomaka ʻana o ʻOkakopa, ua lōʻihi ka manawa ma mua o ka hana ʻana i kekahi mea e pili ana iā ia. Dekemaba 29, Netgear e kau i ka ʻōlelo aʻo no nā nāwaliwali ma ka pūnaewele. Aia nō i kēia manawa firmware hoʻohou no nā meaʻelua hoʻokomo nā mea hoʻokele ma ka pūnaewele. Ua hoʻoholo ʻo Sebree i ka lā 30 Dekemaba e hōʻike i nā nāwaliwali ma lalo o ke ʻano o ka hōʻike ʻana i ke kuleana, ʻoiai ʻaʻole i hoʻoikaika ikaika ʻo Netgear i nā hoʻolaha firmware i nā mea hoʻohana.
ʻO ka Nighthawk RS6700 kahi pūʻulu o nā mea ala i manaʻo nui ʻia i ka hoʻohana home. Ua helu ʻia ʻo AC1750 Smart WiFi Router i ka Pricewatch, a ua loaʻa mai Iulai 31, 2019. Aia nā nāwaliwali i ka ʻO ke kolu o ka mea hoʻokele. Loaʻa ka RAX43 mai Dekemaba 30, 2020.