Ny mpikaroka momba ny fiarovana dia nahita vulnerability 11 mahery tamin'ny fanavaozana firmware vao haingana ho an'ny router Netgear Nighthawk. Ny vulnerabilities dia nofehezin'ny Netgear. Ohatra, ny router dia mitahiry anarana sy tenimiafina amin'ny plaintext.
Ny vulnerabilities hitan'ny mpikaroka Jimi Sebree ao amin'ny orinasa fiarovana Tenable dia ao amin'ny Nighthawk R6700v3 AC1750-verisiona 1.0.4.120 ary ao amin'ny Nighthawk RAX43, firmware version 1.0.3.96. Ny vulnerabilities dia miovaova, fa ny rehetra dia matotra amin'ny fanakianana araka ny filazan'ny mpikaroka, ary ankoatra izany dia tsy ny rehetra no nopetahan'ny Netgear.
Ny vulnerability manan-danja indrindra dia voasoratra ho CVE-2021-45077 ho an'ny RS6700 sy CVE-2021-1771 ho an'ny RAX43. Ny router dia mitahiry solonanarana sy tenimiafina ho an'ny fitaovana ary manome serivisy amin'ny plaintext amin'ny router, ary koa ny tenimiafina admin dia ao anaty plaintext ao amin'ny rakitra fanamafisana voalohany an'ny router, Manoratra ao amin'ny tranokalany i Sebree.
Ankoatr'izay, misy ny loza mety hitranga amin'ireo solon'anarana sy tenimiafina ireo. Ao amin'ny RS6700v3, satria ny routers fampiasana HTTP mahazatraary, ho solon'ny Https, ho an'ny fifandraisana rehetra amin'ny interface interface. Ary koa ny interface SOAP, amin'ny port 5000, mampiasa HTTP ho an'ny fifandraisana, mamela ny tenimiafina sy ny solon'anarana ho voasakana.
SOAP interface tsara
Ankoatra izany, ny router dia mora voan'ny baiko tsindrona hadisoana tsindrona baiko aorian'ny fanamarinana ao amin'ny rindrambaiko fanavaozana ny fitaovana. Ny fametrahana fanamarinana fanavaozana amin'ny alàlan'ny interface SOAP dia mamela ny fitaovana ho mora raisina amin'ny alàlan'ny soatoavina efa namboarina. Ary koa, ny console UART tsy ampy fiarovana, izay ahafahan'ny olona rehetra manana fidirana ara-batana amin'ny fitaovana amin'ny alàlan'ny seranan-tsambo UART hampifandray sy hanao asa amin'ny maha-mpisera faka tsy misy fanamarinana.
Ary koa, ny router dia mampiasa mari-pamantarana mafy-kaody ho an'ny toe-javatra sasany, mba tsy ahafahan'ny mpampiasa manitsy ny toe-piarovana sasany. Misy encryption ireo, saingy araka ny filazan'ny mpikaroka somary mora hita miaraka amin'ny fitaovana azo ampahibemaso, mamela ny fanovana ho an'izay afaka miditra amin'ny router. Ho fanampin'izany, manararaotra ny vulnerabilities fantatra maromaro ao amin'ny tranomboky jQuery sy amin'ny minidlna.exe ny router, raha misy dikan-teny vao haingana kokoa.
Netgear Nighthawk R6700
Ny vulnerabilities ao amin'ny RS6700 dia manana isa CVE 7.1 amin'ny mari-pamantarana 1 ka hatramin'ny 10. Tena matotra izany, fa tsy mitsikera. Ny tena antony dia ny mpanafika dia tsy maintsy manana fidirana ara-batana amin'ny router mba hanararaotra ireo vulnerabilities. Ankoatr'izay, ny fitrandrahana ny vulnerabilities ao amin'ny interface SOAP dia tsy azo atao raha toa ka efa tafiditra ao ny mpanafika.
Ny RAX43 koa dia mampiasa HTTP amin'ny alàlan'ny default, hoy i Sebree, ary mampiasa ireo trano famakiam-boky jQuery ratsy sy kinova mora vidy amin'ny minidlna.exe. Ho fanampin'izany, ny firmware RAX43 dia manana vulnerability vokatry ny bibikely roa. Ny voalohany dia ny tsy fahampian'ny buffer overrun, ny faharoa dia ny vulnerability amin'ny baiko. Ny fampifangaroana ny roa dia ahafahan'ny olona manao asa lavitra toy ny faka, tsy misy fanamarinana.
Netgear Nighthawk RAX43
Nanoratra i Sebree fa nampandre ny Netgear ny vulnerabilities tamin'ny 30 septambra i Tenable. Na dia namaly ny tatitra momba ny vulnerabilities aza ny Netgear tamin'ny fiandohan'ny volana Oktobra, dia elaela vao nisy zavatra natao momba izany. 29 Desambra, Netgear mametraha fampitandremana ho an'ireo marefo amin'ny aterineto. Misy koa izao fanavaozana ny firmware ho an'ny roa routers napetraka amin'ny Internet. Nanapa-kevitra i Sebree tamin'ny 30 Desambra mba hanambara ny vulnerability amin'ny endrika fanehoana tompon'andraikitra, na dia tsy mbola nanosika ny fanavaozana firmware ho an'ny mpampiasa aza ny Netgear.
Ny Nighthawk RS6700 dia andiana router izay mikendry indrindra amin'ny fampiasana an-trano. Izy io dia voatanisa ho AC1750 Smart WiFi Router ao amin'ny Pricewatch, ary efa nisy nanomboka tamin'ny 31 Jolay 2019. Ny vulnerabilities dia ao amin'ny dikan-teny fahatelo amin'ny router. Ny RAX43 dia efa misy nanomboka ny 30 Desambra 2020.