လုံခြုံရေးသုတေသီတစ်ဦးသည် Netgear Nighthawk routers အတွက် မကြာသေးမီက firmware updates များတွင် ပြင်းထန်သောအားနည်းချက်စုစုပေါင်း 11 ခုကို ရှာဖွေတွေ့ရှိခဲ့သည်။ အားနည်းချက်များကို Netgear မှ ဖာထေးထားပါသည်။ ဥပမာအားဖြင့်၊ Router များသည် သုံးစွဲသူအမည်များနှင့် စကားဝှက်များကို plaintext ဖြင့် သိမ်းဆည်းပါသည်။
လုံခြုံရေးကုမ္ပဏီ Tenable မှ သုတေသီ Jimi Sebree ၏ အားနည်းချက်များကို Nighthawk R6700v3 AC1750- တွင် တွေ့ရှိခဲ့သည်။firmware ကိုဗားရှင်း 1.0.4.120 Nighthawk RAX43 တွင်၊ firmware ဗားရှင်း 1.0.3.96။ အားနည်းချက်များသည် ကွဲပြားသော်လည်း သုတေသီများ၏ အဆိုအရ အားလုံးမှာ ပြင်းထန်ပြီး အားလုံးကို Netgear မှ ဖာထေးထားခြင်းမရှိပေ။
အစိုးရိမ်ရဆုံး အားနည်းချက်ကို RAX2021 အတွက် RS45077 နှင့် CVE-6700-2021 အတွက် CVE-1771-43 အဖြစ် မှတ်ပုံတင်ထားသည်။ Router များသည် စက်ပစ္စည်းအတွက် အသုံးပြုသူအမည်များနှင့် စကားဝှက်များကို သိမ်းဆည်းထားပြီး router များပေါ်ရှိ လွင်ပြင်စာသားဖြင့် ဝန်ဆောင်မှုများ ပေးဆောင်ထားပြီး၊ အက်ဒ်မင်စကားဝှက်သည် router ၏ မူလဖွဲ့စည်းပုံဖိုင်တွင် ရိုးရိုးစာသားအဖြစ် ရှိနေပါသည်။ Sebree က သူ့ website မှာ ရေးတယ်။.
ထို့အပြင် ထိုအသုံးပြုသူအမည်များနှင့် စကားဝှက်များကို ကြားဖြတ်ဝင်ရောက်ခံရမည့် အန္တရာယ်လည်း ရှိပါသည်။ RS6700v3 မှာဆိုရင် routers တွေရှိလို့ပါပဲ။ စံ HTTP အသုံးပြုမှုနှင့်၊ Https အစား ဝဘ်အင်တာဖေ့စ်နှင့် ဆက်သွယ်မှုအားလုံးအတွက်။ Port 5000 တွင်လည်း SOAP အင်တာဖေ့စ်၊ ဆက်သွယ်ရေးအတွက် HTTP ကိုအသုံးပြုသည်။စကားဝှက်များနှင့် အသုံးပြုသူအမည်များကို ကြားဖြတ်ဝင်ရောက်ခွင့်ပြုသည်။
ဆပ်ပြာအင်တာဖေ့စ်
ထို့အပြင် Router သည် Injection ဖြင့် အမိန့်ပေးနိုင်ရန် အားနည်းချက်ရှိသည်။ post-authentication command ဆေးထိုးခြင်း အမှား စက်၏ update software တွင်။ SOAP အင်တာဖေ့စ်မှတဆင့် အပ်ဒိတ်စစ်ဆေးမှုကို အစပျိုးခြင်းဖြင့် စက်ပစ္စည်းအား ကြိုတင်ပြင်ဆင်ထားသော တန်ဖိုးများမှတစ်ဆင့် လွှဲပြောင်းယူရန် အားနည်းချက်ရှိသည်။ ထို့အပြင် UART ကွန်ဆိုးလ် မလုံမလောက်ကာကွယ်ထားသည်။အထောက်အထားမခိုင်လုံဘဲ အမြစ်အသုံးပြုသူအဖြစ် လုပ်ငန်းဆောင်တာများကို UART ပေါက်မှတဆင့် စက်ပစ္စည်းသို့ ရုပ်ပိုင်းဆိုင်ရာဝင်ရောက်ခွင့်ရှိသူတိုင်းအား ခွင့်ပြုပေးပါသည်။
ထို့အပြင်၊ အသုံးပြုသူသည် ပုံမှန်အားဖြင့် အချို့သော လုံခြုံရေးဆက်တင်များကို မချိန်ညှိနိုင်စေရန် အချို့သောဆက်တင်များအတွက် ပြင်းထန်သောကုဒ်အထောက်အထားများကို အသုံးပြုသည်။ ဒါတွေကို ကုဒ်ဝှက်ထားပေမယ့် သုတေသီတွေရဲ့ ပြောကြားချက်အရ သိရပါတယ်။ ရှာဖွေရန်အတော်လေးလွယ်ကူသည်။ အများသူငှာရရှိနိုင်သောကိရိယာများဖြင့် router သို့ဝင်ရောက်ခွင့်ရှိသူတိုင်းမှ ဆက်တင်များကို ချိန်ညှိနိုင်စေပါသည်။ ထို့အပြင်၊ Router သည် jQuery libraries များနှင့် minidlna.exe တွင် လူသိများသော အားနည်းချက်များစွာကို အသုံးချပြီး မကြာသေးမီကဗားရှင်းများကို ရရှိနိုင်ပါသည်။
Netgear Nighthawk R6700
RS6700 ရှိ အားနည်းချက်များသည် 7.1 မှ 1 အဆင့်တွင် CVE ရမှတ် 10 ရှိသည်။ ၎င်းသည် ပြင်းထန်သော်လည်း မစိုးရိမ်ရပါ။ အဓိက အကြောင်းအရင်းမှာ တိုက်ခိုက်သူသည် အားနည်းချက်များကို အသုံးချနိုင်ရန် Router သို့ ရုပ်ပိုင်းဆိုင်ရာ ဝင်ရောက်ခွင့်ရှိရမည် ဖြစ်သည်။ ထို့အပြင်၊ SOAP အင်တာဖေ့စ်ရှိ အားနည်းချက်များကို အသုံးချပြီး တိုက်ခိုက်သူသည် ဝင်ရောက်ပြီးမှသာ ဖြစ်နိုင်သည်။ RAX43 အတွက် အားနည်းချက်များသည် 8.8 တွင် 10 ရမှတ်ရှိသည်။
RAX43 သည် default အနေဖြင့် HTTP ကိုလည်းအသုံးပြုသည်၊ Sebree ကရေးသားသည်။နှင့် တူညီသော မကောင်းသော jQuery စာကြည့်တိုက်များနှင့် minidlna.exe ၏ အားနည်းချက်ရှိသော ဗားရှင်းကို အသုံးပြုသည်။ ထို့အပြင် RAX43 firmware တွင် bug နှစ်ခုကြောင့် ဖြစ်ပေါ်လာသော အားနည်းချက်တစ်ခုရှိသည်။ ပထမတစ်ခုသည် ကြားခံအားလွန်သည့်အားနည်းချက်ဖြစ်ပြီး၊ ဒုတိယမှာ command injection vulnerability ဖြစ်သည်။ နှစ်ခုကို ပေါင်းစပ်ခြင်းဖြင့် တစ်စုံတစ်ဦးအား စစ်မှန်ကြောင်းအတည်ပြုခြင်းမရှိဘဲ အဝေးထိန်းအလုပ်များကို root အဖြစ် လုပ်ဆောင်နိုင်စေပါသည်။
Netgear Nighthawk RAX43
Sebree က Tenable သည် စက်တင်ဘာလ 30 ရက်နေ့တွင် အားနည်းချက်များအကြောင်း Netgear အား အကြောင်းကြားခဲ့သည်။ Netgear သည် အောက်တိုဘာလအစောပိုင်းတွင် အားနည်းချက်များ၏ အစီရင်ခံစာကို ကနဦးတုံ့ပြန်ခဲ့သော်လည်း ၎င်းနှင့်ပတ်သက်ပြီး တစ်စုံတစ်ရာမလုပ်ဆောင်မီ အချိန်အတော်ကြာခဲ့သည်။ ဒီဇင်ဘာ ၂၉၊ Netgear အားနည်းချက်များအတွက် သတိပေးချက် အွန်လိုင်းတွင် တင်ပါ။. အခုလည်းရှိတယ်။ firmware မွမ်းမံချက်များ နှစ်ဦးစလုံးအတှကျ Router တွေက အွန်လိုင်းမှာ တင်တယ်။ Sebree သည် Netgear သည် သုံးစွဲသူများထံ Firmware updates များကို တက်ကြွစွာ တွန်းမတင်ရသေးသော်လည်း တာဝန်ရှိသောထုတ်ဖော်မှုဖြင့် အားနည်းချက်များကို ထုတ်ဖော်ရန် ဒီဇင်ဘာ 30 ရက်နေ့တွင် ဆုံးဖြတ်ခဲ့သည်။
Nighthawk RS6700 သည် အိမ်သုံးအတွက် အဓိကရည်ရွယ်သည့် router စီးရီးတစ်ခုဖြစ်သည်။ Pricewatch တွင် AC1750 Smart WiFi Router အဖြစ် စာရင်းသွင်းထားပြီး ဇူလိုင်လ 31 ရက်၊ 2019 ခုနှစ်ကတည်းက စတင်အသုံးပြုနိုင်ပြီဖြစ်သည်။ အားနည်းချက်များမှာ router ၏တတိယဗားရှင်း. RAX43 ကို 30 ခုနှစ်၊ ဒီဇင်ဘာလ 2020 ရက်နေ့မှ စတင်၍ ရနိုင်ပါသည်။