0-day уязвимость в устройствах Netgear, позволяющая удалённо получить root-доступ

16.06.2020 13:37

В http-сервере, применяемом в SOHO-маршрутизаторах Netgear, выявлена уязвимость, позволяющая без прохождения аутентификации удалённо выполнить свой код с правами root и получить полный контроль над устройством. Для атаки достаточно возможности отправки запроса на сетевой порт, на которым выполняется web-интерфейс. Проблема вызвана отсутствием проверки размера внешних данных, перед их копированием в буфер фиксированного размера. Уязвимость подтверждена в различных моделях маршрутизаторов Netgear, в прошивках которых используется типовой уязвимый процесс httpd.

Так как при работе со стеком в прошивках не применялись механизмы защиты, такие как установка канареечных меток, удалось подготовить стабильно работающий эксплоит, запускающий на 8888 порту обратный shell с root-доступом. Эксплоит адаптирован для атаки на 758 найденных образов прошивок Netgear, но вручную пока протестирован на 28 устройствах. В частности, подтверждена работа эксплоита в различных вариантах моделей:

D6300
DGN2200
EX6100
R6250
R6400
R7000
R8300
R8500
WGR614
WGT624
WN3000RP
WNDR3300
WNDR3400
WNDR4000
WNDR4500
WNR834B
WNR1000
WNR2000
WNR3500
WNR3500L

Обновления с исправлением уязвимости пока не выпущены (0-day), поэтому пользователям рекомендуется закрыть доступ к HTTP-порту устройства для запросов с не заслуживающих доверия систем. Компания Netgear была информирована об уязвимости 8 января, но к 120-дневному сроку согласованного раскрытия сведений об уязвимости не выпустила обновления прошивок с устранением проблемы и запросила продлить срок эмбарго. Исследователи согласились сдвинуть срок до 15 июня, но в конце мая представители Netgear ещё раз попросили сдвинуть срок на конец июня, на что получили отказ.

исправить +26 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/53165-netgear

Ключевые слова: netgear, router

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (67)

1.1, КО (?), 14:03, 16/06/2020 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
"отправки запроса" Опять-таки надо знать кому

2.4, Аноним (4), 14:11, 16/06/2020 [^] [^^] [^^^] [ответить]	+2 +/–
Shodan или nmap вам в помощь.

3.20, Аноним84701 (ok), 16:18, 16/06/2020 [^] [^^] [^^^] [ответить]	–1 +/–
> Shodan ... вам в помощь. С чего бы ей помогать жалкому мешку с мясом и костями? oO "Your flesh is an insult to the perfection of the digital." (c) Shodan

4.59, Аноним (-), 07:55, 17/06/2020 [^] [^^] [^^^] [ответить]	+/–
Правильно, для мешков zmap есть.

2.10, КО (?), 15:06, 16/06/2020 [^] [^^] [^^^] [ответить]	+1 +/–
192.168.1.1 - ?

2.58, Аноним (-), 07:53, 17/06/2020 [^] [^^] [^^^] [ответить]	+/–
> Опять-таки надо знать кому С тулзами типа zmap это много времени не займет...

1.2, ryoken (ok), 14:09, 16/06/2020 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
"ALL HEIL OPENWRT!!!"

2.23, Аноним (23), 16:33, 16/06/2020 [^] [^^] [^^^] [ответить]	+3 +/–
hail, раз уж на то пошло. Но хайль тоже неплохо звучит, если ты так тонко решил пошутить.

3.65, ryoken (ok), 08:16, 17/06/2020 [^] [^^] [^^^] [ответить]	+/–
> hail, раз уж на то пошло. Но хайль тоже неплохо звучит, если > ты так тонко решил пошутить. Не решил, прошу прощения за неграмотное написание.

1.3, Аноним (3), 14:10, 16/06/2020 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> рекомендуется закрыть доступ к HTTP-порту устройства для запросов с не заслуживающих доверия систем. как будто это не является дефолтом для вменяемых админов

2.5, Аноним (5), 14:15, 16/06/2020 [^] [^^] [^^^] [ответить]	+2 +/–
Да, все администрирование и управление только через админ VLAN.

2.7, Аноним (7), 14:18, 16/06/2020 [^] [^^] [^^^] [ответить]	+8 +/–
> как будто это не является дефолтом для вменяемых админов Недавно новость была https://www.opennet.me/opennews/art.shtml?num=53113 про сканирование хостов во внутренней сети через WebSoclet или XMLHttpRequest. Достаточно, чтобы кто-нибудь во внутренней сети открыл страницу злодея и можно отсканиоровать внутренние хосты, а потом отправить нужный для атаки HTTP-запрос, используя браузер как прокси. Не с HTTP такое не пройдёт, а вот с HTTP без проблем. Уже так transmission успешно атаковали на localhost пользователей.

3.21, Аноним (3), 16:31, 16/06/2020 [^] [^^] [^^^] [ответить]	+1 +/–
Прикол в том, что и из внутренней сети админ интерфейс не должен быть доступен.

1.6, Кир (?), 14:16, 16/06/2020 [ответить] [﹢﹢﹢] [ · · · ]	+/–
у Нетгира веб интерфейс висит на Wan? чет не верю.

2.11, КО (?), 15:08, 16/06/2020 [^] [^^] [^^^] [ответить]	+/–
Уже давно браузеры умеют отправлять всякую ахинею в локалку. Не всегда, правда, умеют парсить ответ, но тут написано, что это не важно.

1.8, Аноним (8), 14:36, 16/06/2020 [ответить] [﹢﹢﹢] [ · · · ]	+3 +/–
а зачем пользовать стоковую прошивку, если большинство нетгиров может в опенврт? (и, емнип, ихняя прошивка как раз таки и основывается на нем)

2.9, iPony129412 (?), 14:41, 16/06/2020 [^] [^^] [^^^] [ответить]	–3 +/–
Не всем нравится делать это самое с роутерами

3.12, Аноним (12), 15:18, 16/06/2020 [^] [^^] [^^^] [ответить]	+5 +/–
Остались же ещё "наивные" люди, доверяющие штатной прошивке. Я думал, они вымерли, как динозавры. Слишком уж очевидно всё. Хотя человеческую глупость опасно недооценивать, это факт.

4.19, Annms_tmp (?), 16:12, 16/06/2020 [^] [^^] [^^^] [ответить]	+/–
Из-за ограничений для 5GHz, многие производители закрывают код. Современные роутеры уже не могут работать на openwrt.

5.27, Аноним (12), 16:55, 16/06/2020 [^] [^^] [^^^] [ответить]	+2 +/–
> Из-за ограничений для 5GHz, многие производители закрывают код. Современные роутеры уже > не могут работать на openwrt. Ну в принципе там и 2.4 много где не поддерживается. Нужно было выбирать не по цвету.

5.30, onanimous (?), 17:10, 16/06/2020 [^] [^^] [^^^] [ответить]	+/–
Что за ограничения для 5ГГц? Я вот сижу с MikroTik RouterBOARD 962UiGS-5HacT2HnT, прошитым OpenWrt 19.07.0 r10860-a3ffeb413b, и 5ГГц вполне работают на нем.

6.33, Аноним (33), 18:15, 16/06/2020 [^] [^^] [^^^] [ответить]	+/–
Прошитым или запущенным на MetaRouter?

7.71, onanimous (?), 15:13, 17/06/2020 [^] [^^] [^^^] [ответить]	+/–
Прошитым.

5.49, Аноним (49), 22:58, 16/06/2020 [^] [^^] [^^^] [ответить]	+/–
Как будто, на 2.4 ГГц совсем нет никаких ограничений. Всего-то жалких 11 каналов можно по 5 МГц шириной.

4.28, iPony129412 (?), 17:02, 16/06/2020 [^] [^^] [^^^] [ответить]	–2 +/–
> Остались же ещё "наивные" люди, доверяющие штатной прошивке Ну типа того. 7 лет пользовался одним роутером - ни одной причины недоверия. Сейчас другой пошёл. Посмотрим. Пока тоже предпосылок не вижу.

5.50, Аноним (49), 23:00, 16/06/2020 [^] [^^] [^^^] [ответить]	+/–
Блажен, кто верует.

6.57, iPony129412 (?), 07:37, 17/06/2020 [^] [^^] [^^^] [ответить]	–1 +/–
Ну а что должно произойти и как? А у тебя бабай под кроватью!

4.43, Аноним (43), 21:21, 16/06/2020 [^] [^^] [^^^] [ответить]	+/–
У роутера одна задача - вывести локальную сеть в Интернет. Приватность - это по части HTTPS и VPN.

5.44, Аноним (12), 21:35, 16/06/2020 [^] [^^] [^^^] [ответить]	+4 +/–
> У роутера одна задача - вывести локальную сеть в Интернет. Приватность - > это по части HTTPS и VPN. А я думал участвовать в китайском ботнете и отвечать за атаки с твоего айпи.

5.51, Аноним (49), 23:04, 16/06/2020 [^] [^^] [^^^] [ответить]	–1 +/–
>Приватность - это по части HTTPS и VPN. Ага, а кто же этот самый VPN обеспечивать вам будет? А кто зады домашних Шиндошс со светящимися SMB-портами прикрывать будет?

3.14, Аноним (14), 15:30, 16/06/2020 [^] [^^] [^^^] [ответить]	+/–
У обгрызенных всегда с логикой проблемы.

3.48, Аноним (49), 22:54, 16/06/2020 [^] [^^] [^^^] [ответить]	+/–
>Не всем нравится делать это самое с роутерами С собственным мозгом оно, конечно, приятнее...

2.17, анончик (?), 16:01, 16/06/2020 [^] [^^] [^^^] [ответить]	–2 +/–
затем, что после установки openwrt просаживается производительность, как wifi-линка, так и до аплинка.

3.18, Annms_tmp (?), 16:05, 16/06/2020 [^] [^^] [^^^] [ответить]	+3 +/–
Не у всех. У меня наоборот, на openwrt скорость wifi выросла на 30%. Хотя позднее перепрошил на dd wrt, поскольку гораздо удобнее.

3.22, Аноним (22), 16:33, 16/06/2020 [^] [^^] [^^^] [ответить]	+3 +/–
Это раньше были проблемы с hardware NAT, сейчас все допилили

4.24, анончик (?), 16:43, 16/06/2020 [^] [^^] [^^^] [ответить]	–1 +/–
> Это раньше были проблемы с hardware NAT, сейчас все допилили не, ну с моей r7000 вообще облом: https://oldwiki.archive.openwrt.org/toh/netgear/r7000 Both wireless radios are unsupported (no FOSS driver support).

5.31, Annms_tmp (?), 17:17, 16/06/2020 [^] [^^] [^^^] [ответить]	+2 +/–
Разработчик из Broadcom сотрудничает с проектом dd-wrt. Хорошая совместимость прошивок. https://wiki.dd-wrt.com/wiki/index.php/Netgear_R7000

6.36, Аноним (12), 18:55, 16/06/2020 [^] [^^] [^^^] [ответить]	+1 +/–
А ddwrt это не те ребята которые рандомным образом скрещивают рандомные файлы (в том числе openwrt) в надежде, что оно будет работать? Варез же, да и вообще грязно.

7.60, Аноним (-), 07:56, 17/06/2020 [^] [^^] [^^^] [ответить]	+/–
Это некая полупроприетарная и более охомяченая штука, выкладывающая нашару только для убогих девайсов, а девайсы получше - денежки давайте.

4.29, iPony129412 (?), 17:03, 16/06/2020 [^] [^^] [^^^] [ответить]	–1 +/–
Hardware NAT то причём тут? В локалке он вообще не задействуется. Да и толку от этого Hardware Nat этак на гигабитном тарифе. Иначе это спойлер к запарожцу.

5.34, Аноним (22), 18:20, 16/06/2020 [^] [^^] [^^^] [ответить]	+/–
Что же там у тебя за роутеры, которые гигабит процессором роутят

6.37, iPony129412 (?), 19:19, 16/06/2020 [^] [^^] [^^^] [ответить]	–1 +/–
> Что же там у тебя за роутеры, которые гигабит процессором роутят Так Ubiquity пишут

6.38, iPony129412 (?), 19:25, 16/06/2020 [^] [^^] [^^^] [ответить]	–1 +/–
https://help.amplifi.com/hc/en-us/articles/360014557014-Enabling-Hardware-NAT

7.39, Аноним (22), 19:53, 16/06/2020 [^] [^^] [^^^] [ответить]	+/–
Бохато

5.54, анончик (?), 00:46, 17/06/2020 [^] [^^] [^^^] [ответить]	+/–
hardware nat начинает быть полезным где-то в районе 300мбит на железе типичных ac1750/1900. или твой amplifi тяжет больше?

1.26, Аноним (-), 16:54, 16/06/2020 [ответить] [﹢﹢﹢] [ · · · ]

+/–

Особенно "хорошо" эта новость звучит рядом с вот этой:

https://www.opennet.me/openforum/vsluhforumID3/120878.html

Теперь хакерам из "антифрод"-систем даже пароль от роутера подбирать не нужно.

1.32, mos87 (ok), 17:50, 16/06/2020 [ответить] [﹢﹢﹢] [ · · · ]	+5 +/–
выставлять морду домашнего рутера в мир == СЗЗБ

1.35, Аноним (-), 18:23, 16/06/2020 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Все это очень похоже на сговор :)

2.64, Аноним (-), 08:01, 17/06/2020 [^] [^^] [^^^] [ответить]	+/–
Да это просто хакерам стало скучно взаперти, они и решили что-нить просканить.

1.40, Корец (?), 21:02, 16/06/2020 [ответить] [﹢﹢﹢] [ · · · ]	+/–
>Компания Netgear была информирована об уязвимости 8 января, но к 120-дневному сроку согласованного раскрытия сведений об уязвимости не выпустила обновления прошивок с устранением проблемы и запросила продлить срок эмбарго. Что они делали все эти 4 месяца?

2.61, Аноним (-), 07:58, 17/06/2020 [^] [^^] [^^^] [ответить]	+1 +/–
Вола... это самое. Пытаясь найти того китайца который образ собрал среди толпы маркетинговых манагеров.

1.41, Сейд (ok), 21:06, 16/06/2020 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Интересно, статический анализ кода помог бы?

2.42, Корец (?), 21:09, 16/06/2020 [^] [^^] [^^^] [ответить]	+4 +/–
Почитай последний абзац - эти овощи за 4 месяца даже не рыпнулись. Тут ничего не помогло бы.

3.47, Сейд (ok), 22:54, 16/06/2020 [^] [^^] [^^^] [ответить]	+/–
Надо было писать на Rust, чтобы закрыть вопрос с подобными проблемами.

4.52, Аноним (49), 23:14, 16/06/2020 [^] [^^] [^^^] [ответить]	+/–
Точняк, 146%

4.62, Аноним (-), 07:59, 17/06/2020 [^] [^^] [^^^] [ответить]	+/–
Мозилла так уже говорила, написав "безопасный" просмотрщик пдф. Закончилось предсказуемо.

1.45, Аноним (45), 22:17, 16/06/2020 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Какие компании себя так еще не заморали?

2.46, Сейд (ok), 22:47, 16/06/2020 [^] [^^] [^^^] [ответить]	–1 +/–
TP-Link

3.55, iPony129412 (?), 06:58, 17/06/2020 [^] [^^] [^^^] [ответить]

–1 +/–

> TP-Link

Это по тому что он у тебя?

https://www.opennet.me/keywords/tp-link.html

Уязвимости везде встречаются, но если вот так.

> Уязвимость в TP-Link SR20, позволяющая получить root-доступ из локальной сети.

4.56, iPony129412 (?), 06:59, 17/06/2020 [^] [^^] [^^^] [ответить]	–1 +/–
Не дописал > Информация о проблеме была передана в TP-Link ещё в декабре через специальную форму для информирования об уязвимостях, но компания никак не отреагировали на сообщение. После этого Гаррет попытался связаться с представителями TP-Link через Twitter, но также не получил ответа.

4.67, Сейд (ok), 11:07, 17/06/2020 [^] [^^] [^^^] [ответить]	+/–
Ага. Но не из глобальной сети же!

5.68, iPony129412 (?), 11:12, 17/06/2020 [^] [^^] [^^^] [ответить]	–1 +/–
Тут вроде тоже не WAN

6.69, Сейд (ok), 11:36, 17/06/2020 [^] [^^] [^^^] [ответить]	+/–
Да, кажется. Но там одно устройство, а тут сотни.

2.53, Аноним (49), 23:16, 16/06/2020 [^] [^^] [^^^] [ответить]	+/–
D-Link со своим успехом admin/admin в WAN, наверное, непревзойдён.

2.63, Аноним (-), 08:00, 17/06/2020 [^] [^^] [^^^] [ответить]	+/–
> Какие компании себя так еще не заморали? Прошивки openwrt :). Там за безопасностью явно лучше следят.

2.66, Аноним (66), 10:35, 17/06/2020 [^] [^^] [^^^] [ответить]	+/–
Это верный вопрос. Надо сличить весь список со списком "замаранных". Поверь, такие "незамаранные" компании есть (название не скажу - у меня ее роутер). Надолго ли...

1.70, Аноним (70), 11:36, 17/06/2020 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Ожидаем пополнения в ботнетах

игнорирование участников | лог модерирования

Добавить комментарий

Текст: