Một nhà nghiên cứu bảo mật đã phát hiện ra tổng cộng 11 lỗ hổng nghiêm trọng trong các bản cập nhật chương trình cơ sở gần đây cho bộ định tuyến Netgear Nighthawk. Các lỗ hổng đã được Netgear vá. Ví dụ: bộ định tuyến lưu trữ tên người dùng và mật khẩu ở dạng văn bản gốc.
Lỗ hổng mà nhà nghiên cứu Jimi Sebree của công ty bảo mật Tenable tìm thấy có trong Nighthawk R6700v3 AC1750-phiên bản phần mềm 1.0.4.120 và trong Nighthawk RAX43, phiên bản chương trình cơ sở 1.0.3.96. Các lỗ hổng khác nhau, nhưng theo nhà nghiên cứu, tất cả đều ở mức nghiêm trọng đến nghiêm trọng và hơn nữa, không phải tất cả đều được Netgear vá.
Lỗ hổng nghiêm trọng nhất được đăng ký là CVE-2021-45077 cho RS6700 và CVE-2021-1771 cho RAX43. Bộ định tuyến lưu trữ tên người dùng và mật khẩu cho thiết bị và cung cấp dịch vụ ở dạng văn bản gốc trên bộ định tuyến, đồng thời mật khẩu quản trị viên cũng ở dạng văn bản gốc trong tệp cấu hình chính của bộ định tuyến, Sebree viết trên trang web của mình.
Ngoài ra, còn có nguy cơ những tên người dùng và mật khẩu đó sẽ bị chặn. Trong RS6700v3, vì các bộ định tuyến cách sử dụng HTTP tiêu chuẩnvà thay vì Https, cho tất cả giao tiếp với giao diện web. Ngoài ra còn có giao diện SOAP, trên cổng 5000, sử dụng HTTP để liên lạc, cho phép chặn mật khẩu và tên người dùng.
Giao diện SOAP
Hơn nữa, bộ định tuyến dễ bị tấn công bằng lệnh chèn bởi lỗi chèn lệnh sau xác thực trong phần mềm cập nhật của thiết bị. Việc kích hoạt kiểm tra cập nhật thông qua giao diện SOAP khiến thiết bị dễ bị chiếm quyền điều khiển thông qua các giá trị được định cấu hình sẵn. Ngoài ra, bảng điều khiển UART được bảo vệ không đầy đủ, cho phép bất kỳ ai có quyền truy cập vật lý vào thiết bị thông qua cổng UART để kết nối và thực hiện các tác vụ với tư cách là người dùng root mà không cần xác thực.
Ngoài ra, bộ định tuyến sử dụng thông tin xác thực được mã hóa cứng cho một số cài đặt nhất định để người dùng thường không thể điều chỉnh một số cài đặt bảo mật nhất định. Chúng được mã hóa, nhưng theo các nhà nghiên cứu tương đối dễ tìm với các công cụ có sẵn công khai, cho phép bất kỳ ai có quyền truy cập vào bộ định tuyến đều có thể điều chỉnh cài đặt. Ngoài ra, bộ định tuyến còn khai thác một số lỗ hổng đã biết trong thư viện jQuery và trong minidlna.exe, trong khi vẫn có sẵn các phiên bản mới hơn.
Netgear Nighthawk R6700
Các lỗ hổng trong RS6700 có điểm CVE là 7.1 trên thang điểm từ 1 đến 10. Điều này nghiêm trọng nhưng không nghiêm trọng. Lý do chính là kẻ tấn công phải có quyền truy cập vật lý vào bộ định tuyến để khai thác các lỗ hổng. Ngoài ra, việc khai thác các lỗ hổng trong giao diện SOAP chỉ có thể thực hiện được nếu kẻ tấn công đã đăng nhập. Các lỗ hổng dành cho RAX43 có số điểm 8.8/10.
RAX43 cũng sử dụng HTTP theo mặc định, viết Sebreevà sử dụng cùng các thư viện jQuery xấu cũng như phiên bản dễ bị tấn công của minidlna.exe. Ngoài ra, phần sụn RAX43 còn có một lỗ hổng do hai lỗi gây ra. Đầu tiên là lỗ hổng tràn bộ đệm, thứ hai là lỗ hổng chèn lệnh. Kết hợp cả hai cho phép ai đó thực hiện các tác vụ từ xa với quyền root mà không cần xác thực.
Netgear Nighthawk RAX43
Sebree viết rằng Tenable đã thông báo cho Netgear về các lỗ hổng vào ngày 30 tháng 29. Mặc dù Netgear ban đầu phản hồi báo cáo về các lỗ hổng vào đầu tháng XNUMX, nhưng phải mất một thời gian dài trước khi mọi việc được thực hiện. Ngày XNUMX tháng XNUMX, Netgear đưa ra cảnh báo về các lỗ hổng trực tuyến. Hiện nay cũng có cập nhật chương trình cơ sở cho cả hai bộ định tuyến đặt trực tuyến. Sebree đã quyết định tiết lộ các lỗ hổng vào ngày 30 tháng XNUMX dưới chiêu bài tiết lộ có trách nhiệm, mặc dù Netgear vẫn chưa tích cực tung ra các bản cập nhật chương trình cơ sở cho người dùng.
Nighthawk RS6700 là dòng bộ định tuyến chủ yếu nhắm đến mục đích sử dụng tại nhà. Nó được liệt kê là Bộ định tuyến WiFi thông minh AC1750 trong Bảng giá và có sẵn từ ngày 31 tháng 2019 năm XNUMX. Các lỗ hổng nằm trong phiên bản thứ ba của bộ định tuyến. RAX43 đã có sẵn từ ngày 30 tháng 2020 năm XNUMX.