Netgear-routers kunnen worden gekraakt via ouderlijk toezicht


Netgear heeft een beveiligingsgat gedicht in 11 routermodellen die voornamelijk worden gebruikt door particuliere klanten en in kleinere bedrijven. De beveiligingskwetsbaarheid (CVE-2021-40847) is geclassificeerd als hoog risico met een CVSS-waarde van 8,1 en kan aanvallers in het netwerk van de router in staat stellen om kwaadaardige code met systeemrechten op de router uit te voeren. Wat de veiligheid van het hele netwerk in gevaar brengt.

De maas in de wet maakt deel uit van de programmacode van de stand-alone Circle smartphone-app, die is ingebed in de Netgear-firmware. Circle is vooral bekend om zijn Circle by Disney-netwerkapparaat, dat bedoeld is om ouders in staat te stellen het verkeer voor apparaten van kinderen in het thuisnetwerk te filteren. Met de Circle-code in de Netgear-firmware kunnen vergelijkbare kinderbeveiligingsfuncties op Netgear-routers worden bediend met de Circle-app. Omdat de getroffen code is ingebouwd in de firmware van de router, is deze kwetsbaar in de fabrieksstatus en moest deze door Netgear worden gerepareerd via een firmware-update.

De volgende routermodellen worden beïnvloed: R6400v2, R6700 en R6700v3, R6900 en R6900P, R7000 en R7000P, R7850, R7900, R8000, RS400. Details over de updates zijn te vinden in de beveiligingswaarschuwing van Netgear.

Aangezien het beveiligingslek elke aanvaller in het netwerk in staat stelt om de router met weinig moeite te kapen, moeten eigenaren van dergelijke apparaten snel handelen en de updates zo snel mogelijk installeren.

De kwetsbaarheid van de router is ontdekt door onderzoekers van het beveiligingsbedrijf Grimm. zij beschrijven in haar blog in detailwaarom de cirkelcode het ongedaan maken van de Netgear-firmware was. Hoewel de kinderbeveiligingsfuncties van de Circle-software in de fabrieksstatus niet actief zijn op de router, start de router een Linux-daemon wanneer het systeem wordt gestart, die automatisch op de Netgear-servers zoekt naar een database-update met vermeldingen voor websites die Circle zou moeten filteren . In tegenstelling tot firmware-updates van Netgear zijn deze databasedownloads niet versleuteld of anderszins cryptografisch beveiligd of geverifieerd. Het zijn eenvoudige tarball-archieven.

Een aanvaller in het netwerk kan nu een man-in-the-middle-aanval op de router starten en zich voordoen als een updateserver. Als het de database-update in het tarball-archief vervangt door kwaadaardige code, downloadt de router het en kopieert het naar zijn map. Aangezien de binaire bestanden voor de update-daemon zich in dezelfde map bevinden, kan de aanvaller ze overschrijven met kwaadaardige code. De gecompromitteerde cirkeldaemon wordt opnieuw gestart na zo’n vermeende database-update en in plaats van het daadwerkelijke updatecontrolemechanisme, wordt de kwaadaardige code vervolgens uitgevoerd met rootrechten. Hierdoor heeft de aanvaller nu volledige controle over de router.


(fantastisch)



Source link

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

%d bloggers liken dit: