En sikkerhetsforsker har oppdaget totalt 11 alvorlige sårbarheter i nyere fastvareoppdateringer for Netgear Nighthawk-ruterne. Sårbarhetene er lappet av Netgear. For eksempel lagrer ruterne brukernavn og passord i klartekst.
Sårbarhetene som forsker Jimi Sebree i sikkerhetsselskapet Tenable fant er i Nighthawk R6700v3 AC1750-fastvareversjon 1.0.4.120 og i Nighthawk RAX43, fastvareversjon 1.0.3.96. Sårbarhetene varierer, men er alle alvorlige til kritiske ifølge forskeren, og dessuten er ikke alle lappet av Netgear.
Den mest kritiske sårbarheten er registrert som CVE-2021-45077 for RS6700 og CVE-2021-1771 for RAX43. Ruterne lagrer brukernavn og passord for enheten og leverte tjenester i klartekst på ruterne, også administratorpassordet er i klartekst i ruterens primære konfigurasjonsfil, Det skriver Sebree på sin hjemmeside.
I tillegg er det en risiko for at disse brukernavnene og passordene blir fanget opp. I RS6700v3, fordi ruterne standard HTTP-brukog, i stedet for Https, for all kommunikasjon med nettgrensesnittet. Også SOAP-grensesnittet, på port 5000, bruker HTTP for kommunikasjon, slik at passord og brukernavn kan fanges opp.
SOAP-grensesnitt
Videre er ruteren sårbar for kommandoinjeksjon av en post-autentiseringskommandoinjeksjonsfeil i oppdateringsprogramvaren til enheten. Å utløse en oppdateringssjekk gjennom SOAP-grensesnittet gjør enheten sårbar for overtakelse via forhåndskonfigurerte verdier. Også UART-konsollen utilstrekkelig beskyttet, som lar alle med fysisk tilgang til enheten gjennom UART-porten koble til og utføre oppgaver som root-bruker uten autentisering.
Ruteren bruker også hardkodet legitimasjon for visse innstillinger, slik at en bruker normalt ikke kan justere visse sikkerhetsinnstillinger. Disse er kryptert, men ifølge forskerne relativt lett å finne med offentlig tilgjengelige verktøy, slik at innstillingene kan justeres av alle som har tilgang til ruteren. I tillegg utnytter ruteren flere kjente sårbarheter i jQuery-biblioteker og i minidlna.exe, mens nyere versjoner er tilgjengelige.
Netgear Nighthawk R6700
Sårbarhetene i RS6700 har en CVE-score på 7.1 på en skala fra 1 til 10. Det er alvorlig, men ikke kritisk. Hovedårsaken er at en angriper må ha fysisk tilgang til ruteren for å kunne utnytte sårbarhetene. I tillegg er det kun mulig å utnytte sårbarhetene i SOAP-grensesnittet hvis en angriper allerede er pålogget. Sårbarhetene for RAX43 har en score på 8.8 av 10.
RAX43 bruker også HTTP som standard, skriver Sebree, og bruker de samme dårlige jQuery-bibliotekene og den sårbare versjonen av minidlna.exe. I tillegg har RAX43-fastvaren en sårbarhet forårsaket av to feil. Den første er en bufferoverskridelsessårbarhet, den andre en kommandoinjeksjonssårbarhet. Ved å kombinere de to kan noen utføre eksterne oppgaver som root, uten autentisering.
Netgear Nighthawk RAX43
Sebree skriver at Tenable har varslet Netgear om sårbarhetene 30. september Selv om Netgear i utgangspunktet svarte på rapporten om sårbarhetene i begynnelsen av oktober, tok det lang tid før det ble gjort noe med det. 29. desember, Netgear legge ut en advarsel for sårbarhetene på nettet. Det er også nå firmwareoppdateringer for både rutere satt på nett. Sebree bestemte seg 30. desember for å avsløre sårbarhetene under dekke av ansvarlig avsløring, selv om Netgear ennå ikke aktivt har pushet fastvareoppdateringene til brukerne.
Nighthawk RS6700 er en serie rutere hovedsakelig rettet mot hjemmebruk. Den er oppført som AC1750 Smart WiFi Router i Pricewatch, og har vært tilgjengelig siden 31. juli 2019. Sårbarhetene er i tredje versjon av ruteren. RAX43 har vært tilgjengelig siden 30. desember 2020.