Onderzoeker vindt meerdere kwetsbaarheden in twee Netgear Nighthawk-routers

Een beveiligingsonderzoeker heeft in totaal 11 ernstige kwetsbaarheden in recente firmware-updates voor de Netgear Nighthawk-routers. De kwetsbaarheden zijn verholpen door Netgear. Bijvoorbeeld, de routers slaan gebruikersnamen en wachtwoorden op in platte tekst.

De kwetsbaarheden die onderzoeker Jimi Sebree van het beveiligingsbedrijf Tenable aantrof, zitten in Nighthawk R6700v3 AC1750-firmware versie 1.0.4.120 en in de Nighthawk RAX43, firmware versie 1.0.3.96. De kwetsbaarheden variëren, maar zijn allemaal serieus tot kritisch volgens de onderzoeker, en bovendien zijn ze niet allemaal gepatcht door Netgear.

De meest kritieke kwetsbaarheid is geregistreerd als CVE-2021-45077 voor de RS6700 en CVE-2021-1771 voor de RAX43. De routers slaan gebruikersnamen en wachtwoorden voor het apparaat op en leveren services in platte tekst op de routers, ook het beheerderswachtwoord staat in leesbare tekst in het primaire configuratiebestand van de router, Sebree schrijft op zijn website.

Daarnaast, bestaat het risico dat die gebruikersnamen en wachtwoorden worden onderschept. In de RS6700v3, omdat de routers standaard HTTP-gebruiken, in plaats van Https, voor alle communicatie met de webinterface. Ook de SOAP-interface, op poort 5000, gebruikt HTTP voor communicatie, waardoor de wachtwoorden en gebruikersnamen kunnen worden onderschept.

SOAP-interface:

verder, de router is kwetsbaar voor commando-injectie door: een post-authenticatie opdracht injectie fout in de updatesoftware van het apparaat. Het activeren van een updatecontrole via de SOAP-interface maakt het apparaat kwetsbaar voor overname via vooraf geconfigureerde waarden. Ook, de UART-console onvoldoende beschermd, waarmee iedereen met fysieke toegang tot het apparaat via de UART-poort verbinding kan maken en taken kan uitvoeren als rootgebruiker zonder authenticatie.

Ook, de router gebruikt hardgecodeerde inloggegevens voor bepaalde instellingen, zodat een gebruiker bepaalde beveiligingsinstellingen normaal gesproken niet kan aanpassen. Deze zijn versleuteld, maar volgens de onderzoekers relatief gemakkelijk te vinden met openbaar beschikbare tools, waardoor instellingen kunnen worden aangepast door iedereen met toegang tot de router. Daarnaast, de router maakt gebruik van verschillende bekende kwetsbaarheden in jQuery-bibliotheken en in minidlna.exe, terwijl er recentere versies beschikbaar zijn.

Netgear Nighthawk R6700

De kwetsbaarheden in de RS6700 hebben een CVE-score van 7.1 op een schaal van 1 naar 10. Dat is serieus, maar niet kritisch. De belangrijkste reden is dat een aanvaller fysieke toegang tot de router moet hebben om de kwetsbaarheden te kunnen misbruiken. Daarnaast, misbruik maken van de kwetsbaarheden in de SOAP-interface is alleen mogelijk als een aanvaller al is ingelogd. De kwetsbaarheden voor de RAX43 hebben een score van 8.8 uit 10.

De RAX43 gebruikt standaard ook HTTP, schrijft Sebree, en het gebruikt dezelfde slechte jQuery-bibliotheken en kwetsbare versie van minidlna.exe. Daarnaast, de RAX43-firmware heeft een kwetsbaarheid die wordt veroorzaakt door twee bugs. De eerste is een kwetsbaarheid voor bufferoverschrijding, de tweede een kwetsbaarheid voor opdrachtinjectie. Door de twee te combineren, kan iemand externe taken als root uitvoeren, zonder authenticatie.

Netgear Nighthawk RAX43

Sebree schrijft dat Tenable Netgear in september op de hoogte heeft gesteld van de kwetsbaarheden 30. Hoewel Netgear in eerste instantie reageerde op de melding van de kwetsbaarheden begin oktober, het heeft lang geduurd voordat er iets aan gedaan werd. december 29, Netgear zet een waarschuwing voor de kwetsbaarheden online. Er zijn nu ook firmware-updates voor beide routers online gezet. Sebree besloot in december 30 om de kwetsbaarheden bekend te maken onder het mom van verantwoorde openbaarmaking, ook al heeft Netgear de firmware-updates nog niet actief naar gebruikers gepusht.

De Nighthawk RS6700 is een serie routers die voornamelijk gericht is op thuisgebruik. Het wordt vermeld als de AC1750 Smart WiFi-router in de Pricewatch, en is beschikbaar sinds juli 31, 2019. De kwetsbaarheden zitten in de derde versie van de router. De RAX43 is sinds december verkrijgbaar 30, 2020.