Een beveiligingsonderzoeker heeft in totaal 11 ernstige kwetsbaarheden ontdekt in recente firmware-updates voor de Netgear Nighthawk-routers. De kwetsbaarheden zijn gepatcht door Netgear. De routers slaan bijvoorbeeld gebruikersnamen en wachtwoorden op in platte tekst.
De kwetsbaarheden die onderzoeker Jimi Sebree van het beveiligingsbedrijf Tenable aantrof, zitten in Nighthawk R6700v3 AC1750-firmwareversie 1.0.4.120 en in de Nighthawk RAX43, firmwareversie 1.0.3.96. De kwetsbaarheden variëren, maar zijn volgens de onderzoeker allemaal ernstig tot kritiek en bovendien niet allemaal gepatcht door Netgear.
De meest kritieke kwetsbaarheid is geregistreerd als CVE-2021-45077 voor de RS6700 en CVE-2021-1771 voor de RAX43. De routers slaan gebruikersnamen en wachtwoorden voor het apparaat op en leveren services in leesbare tekst op de routers, ook het beheerderswachtwoord staat in leesbare tekst in het primaire configuratiebestand van de router, Sebree schrijft op zijn website.
Daarnaast bestaat het risico dat die gebruikersnamen en wachtwoorden worden onderschept. In de RS6700v3, omdat de routers standaard HTTP-gebruiken, in plaats van Https, voor alle communicatie met de webinterface. Ook de SOAP-interface, op poort 5000, gebruikt HTTP voor communicatie, waardoor de wachtwoorden en gebruikersnamen kunnen worden onderschept.
SOAP-interface
Bovendien is de router kwetsbaar voor commando-injectie door een post-authenticatie opdracht injectie fout in de updatesoftware van het apparaat. Het triggeren van een updatecontrole via de SOAP-interface maakt het apparaat kwetsbaar voor overname via vooraf geconfigureerde waarden. Ook de UART-console onvoldoende beschermd, waarmee iedereen met fysieke toegang tot het apparaat via de UART-poort verbinding kan maken en taken kan uitvoeren als rootgebruiker zonder authenticatie.
Ook gebruikt de router hard-coded inloggegevens voor bepaalde instellingen, zodat een gebruiker normaal gesproken bepaalde beveiligingsinstellingen niet kan aanpassen. Deze zijn versleuteld, maar volgens de onderzoekers relatief gemakkelijk te vinden met openbaar beschikbare tools, waardoor instellingen kunnen worden aangepast door iedereen met toegang tot de router. Daarnaast maakt de router gebruik van verschillende bekende kwetsbaarheden in jQuery-bibliotheken en in minidlna.exe, terwijl er recentere versies beschikbaar zijn.
Netgear Nighthawk R6700
De kwetsbaarheden in de RS6700 hebben een CVE-score van 7.1 op een schaal van 1 tot 10. Dat is serieus, maar niet kritiek. De belangrijkste reden is dat een aanvaller fysieke toegang tot de router moet hebben om de kwetsbaarheden te kunnen misbruiken. Daarnaast is het uitbuiten van de kwetsbaarheden in de SOAP-interface alleen mogelijk als er al een aanvaller is ingelogd. De kwetsbaarheden voor de RAX43 hebben een score van 8.8 op 10.
De RAX43 gebruikt standaard ook HTTP, schrijft Sebree, en het gebruikt dezelfde slechte jQuery-bibliotheken en kwetsbare versie van minidlna.exe. Daarnaast heeft de RAX43-firmware een kwetsbaarheid veroorzaakt door twee bugs. De eerste is een kwetsbaarheid voor bufferoverschrijding, de tweede een kwetsbaarheid voor opdrachtinjectie. Door de twee te combineren kan iemand taken op afstand uitvoeren als root, zonder authenticatie.
Netgear Nighthawk RAX43
Sebree schrijft dat Tenable op 30 september Netgear op de hoogte heeft gesteld van de kwetsbaarheden. Hoewel Netgear begin oktober aanvankelijk reageerde op de melding van de kwetsbaarheden, duurde het lang voordat er iets aan werd gedaan. 29 december, Netgear zet een waarschuwing voor de kwetsbaarheden online. Die zijn er nu ook firmware-updates zowel routers online gezet. Sebree besloot op 30 december om de kwetsbaarheden bekend te maken onder het mom van Responsible disclosure, ook al heeft Netgear de firmware-updates nog niet actief naar gebruikers gepusht.
De Nighthawk RS6700 is een serie routers die voornamelijk gericht is op thuisgebruik. Het staat vermeld als de AC1750 Smart WiFi Router in de Pricewatch en is beschikbaar sinds 31 juli 2019. De kwetsbaarheden zitten in de derde versie van de router. De RAX43 is beschikbaar sinds 30 december 2020.