א זיכערהייט פאָרשער האט דיסקאַווערד אַ גאַנץ פון 11 ערנסט וואַלנעראַביליטיז אין די לעצטע פירמוואַרע דערהייַנטיקונגען פֿאַר די Netgear Nighthawk ראָוטערס. די וואַלנעראַביליטיז זענען פּאַטשט דורך Netgear. פֿאַר בייַשפּיל, די ראָוטערס קראָם וסערנאַמעס און פּאַסווערדז אין קלאָר טעקסט.
די וואַלנעראַביליטיז וואָס פאָרשער Jimi Sebree פון די זיכערהייט פירמע Tenable געפֿונען זענען אין Nighthawk R6700v3 AC1750-פירמוואַרע ווערסיע 1.0.4.120 און אין די Nighthawk RAX43, פירמוואַרע ווערסיע 1.0.3.96. די וואַלנעראַביליטיז בייַטן, אָבער זענען אַלע ערנסט צו קריטיש לויט די פאָרשער, און דערצו ניט אַלע זענען פּאַטשט דורך Netgear.
די מערסט קריטיש וואַלנעראַביליטי איז רעגיסטרירט ווי CVE-2021-45077 פֿאַר די RS6700 און CVE-2021-1771 פֿאַר די RAX43. די ראָוטערס קראָם וסערנאַמעס און פּאַסווערדז פֿאַר די מיטל און צוגעשטעלט סערוויסעס אין קלאָר טעקסט אויף די ראָוטערס, אויך די אַדמין פּאַראָל איז אין קלאָר טעקסט אין די ערשטיק קאַנפיגיעריישאַן טעקע פון די ראַוטער, סעברעע שרייבט אויף זיין וועבזייטל.
אין דערצו, עס איז אַ ריזיקירן אַז די וסערנאַמעס און פּאַסווערדז וועט זיין ינטערסעפּטאַד. אין די רס6700וו3, ווייַל די ראָוטערס נאָרמאַל הטטפּ באַניץאון, אַנשטאָט פון הטטפּס, פֿאַר אַלע קאָמוניקאַציע מיט די וועב צובינד. אויך די SOAP צובינד, אויף פּאָרט 5000, ניצט הטטפּ פֿאַר קאָמוניקאַציע, אַלאַוינג די פּאַסווערדז און באַניצער נעמען צו זיין ינטערסעפּטאַד.
SOAP צובינד
דערצו, די ראַוטער איז שפּירעוודיק צו באַפֿעלן ינדזשעקשאַן דורך אַ פּאָסטן-אָטענטאַקיישאַן באַפֿעל ינדזשעקשאַן טעות אין די דערהייַנטיקן ווייכווארג פון די מיטל. טריגערינג אַ דערהייַנטיקן טשעק דורך די SOAP צובינד לאָזן די מיטל שפּירעוודיק צו נעמען איבער דורך פּריקאַנפיגיערד וואַלועס. אויך די UART קאַנסאָול ניט גענוגיק פּראָטעקטעד, וואָס אַלאַוז ווער עס יז מיט גשמיות אַקסעס צו די מיטל דורך די UART פּאָרט צו פאַרבינדן און דורכפירן טאַסקס ווי אַ וואָרצל באַניצער אָן אָטענטאַקיישאַן.
אויך, דער ראַוטער ניצט שווער-קאָדעד קראַדענטשאַלז פֿאַר זיכער סעטטינגס, אַזוי אַז אַ באַניצער קען נאָרמאַלי נישט סטרויערן זיכער זיכערהייט סעטטינגס. די זענען ינקריפּטיד, אָבער לויט די ריסערטשערז לעפיערעך גרינג צו געפֿינען מיט עפנטלעך בנימצא מכשירים, אַלאַוינג סעטטינגס צו זיין אַדזשאַסטיד דורך ווער עס יז מיט אַקסעס צו די ראַוטער. אין אַדישאַן, דער ראַוטער עקספּלויץ עטלעכע באַוווסט וואַלנעראַביליטיז אין jQuery לייברעריז און אין minidlna.exe, בשעת מער פריש ווערסיעס זענען בארעכטיגט.
נעטגעאַר ניגהטהאַווק ר 6700
די וואַלנעראַביליטיז אין די RS6700 האָבן אַ CVE כעזשבן פון 7.1 אויף אַ וואָג פון 1 צו 10. דאָס איז ערנסט, אָבער נישט קריטיש. די הויפּט סיבה איז אַז אַ אַטאַקער מוזן האָבן פיזיש אַקסעס צו די ראַוטער צו נוצן די וואַלנעראַביליטיז. אין אַדישאַן, עקספּלויטינג די וואַלנעראַביליטיז אין די SOAP צובינד איז בלויז מעגלעך אויב אַ אַטאַקער איז שוין לאָגד אין. די וואַלנעראַביליטיז פֿאַר די RAX43 האָבן אַ כעזשבן פון 8.8 פון 10.
די RAX43 אויך ניצט הטטפּ דורך פעליקייַט, שרייבט סעברע, און די ניצט די זעלבע שלעכט דזשקווערי לייברעריז און שפּירעוודיק ווערסיע פון minidlna.exe. אין אַדישאַן, די RAX43 פירמוואַרע האט אַ וואַלנעראַביליטי געפֿירט דורך צוויי באַגז. דער ערשטער איז אַ באַפער אָווועררון וואַלנעראַביליטי, די רגע אַ באַפעל ינדזשעקשאַן וואַלנעראַביליטי. קאַמביינינג די צוויי אַלאַוז עמעצער צו דורכפירן ווייַט טאַסקס ווי וואָרצל, אָן אָטענטאַקיישאַן.
נעטגעאַר ניגהטאַווק RAX43
סעברעע שרייבט אז טענאַבלע האט נאָוטאַפייד נעטגעאַר וועגן די וואַלנעראַביליטיז אויף סעפטעמבער 30. כאָטש נעטגעאַר טכילעס רעאַגירט צו די מעלדונג פון די וואַלנעראַביליטיז אין פרי אקטאבער, עס האט אַ לאַנג צייַט ביז עפּעס איז געטאן וועגן אים. 29 דעצעמבער, נעטגעאַר שטעלן אַ ווארענונג פֿאַר די וואַלנעראַביליטיז אָנליין. עס זענען אויך איצט פירמוואַרע דערהייַנטיקונגען פֿאַר ביידע ראָוטערס שטעלן אָנליין. סעברעע באַשלאָסן אויף דעצעמבער 30 צו ויסזאָגן די וואַלנעראַביליטיז אונטער די גייז פון פאַראַנטוואָרטלעך אַנטפּלעקונג, כאָטש Netgear האט נישט נאָך אַקטיוולי פּושט די פירמוואַרע דערהייַנטיקונגען צו יוזערז.
די Nighthawk RS6700 איז אַ סעריע פון ראָוטערס, דער הויפּט אַימעד צו נוצן אין שטוב. עס איז ליסטעד ווי די AC1750 סמאַרט וויפי ראַוטער אין די פּריסעוואַטטש, און איז בנימצא זינט יולי 31, 2019. די וואַלנעראַביליטיז זענען אין די דריט ווערסיע פון די ראַוטער. די RAX43 איז בארעכטיגט זינט 30 דעצעמבער 2020.