The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

0-day уязвимость в устройствах Netgear, позволяющая удалённо получить root-доступ

16.06.2020 13:37

В http-сервере, применяемом в SOHO-маршрутизаторах Netgear, выявлена уязвимость, позволяющая без прохождения аутентификации удалённо выполнить свой код с правами root и получить полный контроль над устройством. Для атаки достаточно возможности отправки запроса на сетевой порт, на которым выполняется web-интерфейс. Проблема вызвана отсутствием проверки размера внешних данных, перед их копированием в буфер фиксированного размера. Уязвимость подтверждена в различных моделях маршрутизаторов Netgear, в прошивках которых используется типовой уязвимый процесс httpd.

Так как при работе со стеком в прошивках не применялись механизмы защиты, такие как установка канареечных меток, удалось подготовить стабильно работающий эксплоит, запускающий на 8888 порту обратный shell с root-доступом. Эксплоит адаптирован для атаки на 758 найденных образов прошивок Netgear, но вручную пока протестирован на 28 устройствах. В частности, подтверждена работа эксплоита в различных вариантах моделей:

  • D6300
  • DGN2200
  • EX6100
  • R6250
  • R6400
  • R7000
  • R8300
  • R8500
  • WGR614
  • WGT624
  • WN3000RP
  • WNDR3300
  • WNDR3400
  • WNDR4000
  • WNDR4500
  • WNR834B
  • WNR1000
  • WNR2000
  • WNR3500
  • WNR3500L

Обновления с исправлением уязвимости пока не выпущены (0-day), поэтому пользователям рекомендуется закрыть доступ к HTTP-порту устройства для запросов с не заслуживающих доверия систем. Компания Netgear была информирована об уязвимости 8 января, но к 120-дневному сроку согласованного раскрытия сведений об уязвимости не выпустила обновления прошивок с устранением проблемы и запросила продлить срок эмбарго. Исследователи согласились сдвинуть срок до 15 июня, но в конце мая представители Netgear ещё раз попросили сдвинуть срок на конец июня, на что получили отказ.

  1. Главная ссылка к новости (https://blog.grimm-co.com/2020...)
  2. OpenNews: Уязвимости в Cisco RV32x были "устранены" через блокировку запросов от утилиты curl
  3. OpenNews: Атака Cable Haunt, позволяющая получить контроль за кабельными модемами
  4. OpenNews: Уязвимости, позволяющие захватить управление коммутаторами Cisco, Zyxel и NETGEAR на чипах RTL83xx
  5. OpenNews: 83% изученных беспроводных маршрутизаторов содержат неисправленные уязвимости
  6. OpenNews: Уязвимость в устройствах Netgear, позволяющая получить управление без аутентификации
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/53165-netgear
Ключевые слова: netgear, router
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (67) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, КО (?), 14:03, 16/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    "отправки запроса"
    Опять-таки надо знать кому
     
     
  • 2.4, Аноним (4), 14:11, 16/06/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Shodan или nmap вам в помощь.

     
     
  • 3.20, Аноним84701 (ok), 16:18, 16/06/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Shodan ... вам в помощь.

    С чего бы ей помогать жалкому мешку с мясом и костями? oO
    "Your flesh is an insult to the perfection of the digital." (c) Shodan

     
     
  • 4.59, Аноним (-), 07:55, 17/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Правильно, для мешков zmap есть.
     
  • 2.10, КО (?), 15:06, 16/06/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    192.168.1.1 - ?
     
  • 2.58, Аноним (-), 07:53, 17/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Опять-таки надо знать кому

    С тулзами типа zmap это много времени не займет...

     

  • 1.2, ryoken (ok), 14:09, 16/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    "ALL HEIL OPENWRT!!!"
     
     
  • 2.23, Аноним (23), 16:33, 16/06/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    hail, раз уж на то пошло. Но хайль тоже неплохо звучит, если ты так тонко решил пошутить.
     
     
  • 3.65, ryoken (ok), 08:16, 17/06/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > hail, раз уж на то пошло. Но хайль тоже неплохо звучит, если
    > ты так тонко решил пошутить.

    Не решил, прошу прощения за неграмотное написание.

     

  • 1.3, Аноним (3), 14:10, 16/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > рекомендуется закрыть доступ к HTTP-порту устройства для запросов с не заслуживающих доверия систем.

    как будто это не является дефолтом для вменяемых админов

     
     
  • 2.5, Аноним (5), 14:15, 16/06/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Да, все администрирование и управление только через админ VLAN.
     
  • 2.7, Аноним (7), 14:18, 16/06/2020 [^] [^^] [^^^] [ответить]  
  • +8 +/
    > как будто это не является дефолтом для вменяемых админов

    Недавно новость была https://www.opennet.ru/opennews/art.shtml?num=53113 про сканирование хостов во внутренней сети через WebSoclet или XMLHttpRequest. Достаточно, чтобы кто-нибудь во внутренней сети открыл страницу злодея и можно отсканиоровать внутренние хосты, а потом отправить нужный для атаки HTTP-запрос, используя браузер как прокси. Не с HTTP такое не пройдёт, а вот с HTTP без проблем. Уже так transmission успешно атаковали на localhost пользователей.

     
     
  • 3.21, Аноним (3), 16:31, 16/06/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Прикол в том, что и из внутренней сети админ интерфейс не должен быть доступен.
     

  • 1.6, Кир (?), 14:16, 16/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    у Нетгира веб интерфейс висит на Wan? чет не верю.
     
     
  • 2.11, КО (?), 15:08, 16/06/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Уже давно браузеры умеют отправлять всякую ахинею в локалку. Не всегда, правда, умеют парсить ответ, но тут написано, что это не важно.
     

  • 1.8, Аноним (8), 14:36, 16/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    а зачем пользовать стоковую прошивку, если большинство нетгиров может в опенврт? (и, емнип, ихняя прошивка как раз таки и основывается на нем)
     
     
  • 2.9, iPony129412 (?), 14:41, 16/06/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Не всем нравится делать это самое с роутерами
     
     
  • 3.12, Аноним (12), 15:18, 16/06/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Остались же ещё "наивные" люди, доверяющие штатной прошивке. Я думал, они вымерли, как динозавры. Слишком уж очевидно всё. Хотя человеческую глупость опасно недооценивать, это факт.
     
     
  • 4.19, Annms_tmp (?), 16:12, 16/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Из-за ограничений для 5GHz, многие производители закрывают код. Современные роутеры уже не могут работать на openwrt.
     
     
  • 5.27, Аноним (12), 16:55, 16/06/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Из-за ограничений для 5GHz, многие производители закрывают код. Современные роутеры уже
    > не могут работать на openwrt.

    Ну в принципе там и 2.4 много где не поддерживается. Нужно было выбирать не по цвету.

     
  • 5.30, onanimous (?), 17:10, 16/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Что за ограничения для 5ГГц? Я вот сижу с MikroTik RouterBOARD 962UiGS-5HacT2HnT, прошитым OpenWrt 19.07.0 r10860-a3ffeb413b, и 5ГГц вполне работают на нем.
     
     
  • 6.33, Аноним (33), 18:15, 16/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Прошитым или запущенным на MetaRouter?
     
     
  • 7.71, onanimous (?), 15:13, 17/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Прошитым.
     
  • 5.49, Аноним (49), 22:58, 16/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Как будто, на 2.4 ГГц совсем нет никаких ограничений. Всего-то жалких 11 каналов можно по 5 МГц шириной.
     
  • 4.28, iPony129412 (?), 17:02, 16/06/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Остались же ещё "наивные" люди, доверяющие штатной прошивке

    Ну типа того. 7 лет пользовался одним роутером - ни одной причины недоверия.
    Сейчас другой пошёл. Посмотрим. Пока тоже предпосылок не вижу.

     
     
  • 5.50, Аноним (49), 23:00, 16/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Блажен, кто верует.
     
     
  • 6.57, iPony129412 (?), 07:37, 17/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну а что должно произойти и как?
    А у тебя бабай под кроватью!
     
  • 4.43, Аноним (43), 21:21, 16/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    У роутера одна задача - вывести локальную сеть в Интернет. Приватность - это по части HTTPS и VPN.
     
     
  • 5.44, Аноним (12), 21:35, 16/06/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > У роутера одна задача - вывести локальную сеть в Интернет. Приватность -
    > это по части HTTPS и VPN.

    А я думал участвовать в китайском ботнете и отвечать за атаки с твоего айпи.

     
  • 5.51, Аноним (49), 23:04, 16/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >Приватность - это по части HTTPS и VPN.

    Ага, а кто же этот самый VPN обеспечивать вам будет? А кто зады домашних Шиндошс со светящимися SMB-портами прикрывать будет?

     
  • 3.14, Аноним (14), 15:30, 16/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    У обгрызенных всегда с логикой проблемы.
     
  • 3.48, Аноним (49), 22:54, 16/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >Не всем нравится делать это самое с роутерами

    С собственным мозгом оно, конечно, приятнее...

     
  • 2.17, анончик (?), 16:01, 16/06/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    затем, что после установки openwrt просаживается производительность, как wifi-линка, так и до аплинка.
     
     
  • 3.18, Annms_tmp (?), 16:05, 16/06/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Не у всех. У меня наоборот, на openwrt скорость wifi выросла на 30%. Хотя позднее перепрошил на dd wrt, поскольку гораздо удобнее.
     
  • 3.22, Аноним (22), 16:33, 16/06/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Это раньше были проблемы с hardware NAT, сейчас все допилили
     
     
  • 4.24, анончик (?), 16:43, 16/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Это раньше были проблемы с hardware NAT, сейчас все допилили

    не, ну с моей r7000 вообще облом: https://oldwiki.archive.openwrt.org/toh/netgear/r7000
    Both wireless radios are unsupported (no FOSS driver support).

     
     
  • 5.31, Annms_tmp (?), 17:17, 16/06/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Разработчик из Broadcom сотрудничает с проектом dd-wrt. Хорошая совместимость прошивок. https://wiki.dd-wrt.com/wiki/index.php/Netgear_R7000
     
     
  • 6.36, Аноним (12), 18:55, 16/06/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А ddwrt это не те ребята которые рандомным образом скрещивают рандомные файлы (в том числе openwrt) в надежде, что оно будет работать? Варез же, да и вообще грязно.
     
     
  • 7.60, Аноним (-), 07:56, 17/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Это некая полупроприетарная и более охомяченая штука, выкладывающая нашару только для убогих девайсов, а девайсы получше - денежки давайте.
     
  • 4.29, iPony129412 (?), 17:03, 16/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Hardware NAT то причём тут?
    В локалке он вообще не задействуется.
    Да и толку от этого Hardware Nat этак на гигабитном тарифе.
    Иначе это спойлер к запарожцу.
     
     
  • 5.34, Аноним (22), 18:20, 16/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Что же там у тебя за роутеры, которые гигабит процессором роутят
     
     
  • 6.37, iPony129412 (?), 19:19, 16/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Что же там у тебя за роутеры, которые гигабит процессором роутят

    Так Ubiquity пишут

     
  • 6.38, iPony129412 (?), 19:25, 16/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    https://help.amplifi.com/hc/en-us/articles/360014557014-Enabling-Hardware-NAT
     
     
  • 7.39, Аноним (22), 19:53, 16/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Бохато
     
  • 5.54, анончик (?), 00:46, 17/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    hardware nat начинает быть полезным где-то в районе 300мбит на железе типичных ac1750/1900.
    или твой amplifi тяжет больше?
     

  • 1.26, Аноним (-), 16:54, 16/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Особенно "хорошо" эта новость звучит рядом с вот этой:

    https://www.opennet.ru/openforum/vsluhforumID3/120878.html

    Теперь хакерам из "антифрод"-систем даже пароль от роутера подбирать не нужно.

     
  • 1.32, mos87 (ok), 17:50, 16/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    выставлять морду домашнего рутера в мир == СЗЗБ
     
  • 1.35, Аноним (-), 18:23, 16/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Все это очень похоже на сговор :)
     
     
  • 2.64, Аноним (-), 08:01, 17/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Да это просто хакерам стало скучно взаперти, они и решили что-нить просканить.
     

  • 1.40, Корец (?), 21:02, 16/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Компания Netgear была информирована об уязвимости 8 января, но к 120-дневному сроку согласованного раскрытия сведений об уязвимости не выпустила обновления прошивок с устранением проблемы и запросила продлить срок эмбарго.

    Что они делали все эти 4 месяца?

     
     
  • 2.61, Аноним (-), 07:58, 17/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Вола... это самое. Пытаясь найти того китайца который образ собрал среди толпы маркетинговых манагеров.
     

  • 1.41, Сейд (ok), 21:06, 16/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Интересно, статический анализ кода помог бы?
     
     
  • 2.42, Корец (?), 21:09, 16/06/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Почитай последний абзац - эти овощи за 4 месяца даже не рыпнулись. Тут ничего не помогло бы.
     
     
  • 3.47, Сейд (ok), 22:54, 16/06/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Надо было писать на Rust, чтобы закрыть вопрос с подобными проблемами.
     
     
  • 4.52, Аноним (49), 23:14, 16/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Точняк, 146%
     
  • 4.62, Аноним (-), 07:59, 17/06/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Мозилла так уже говорила, написав "безопасный" просмотрщик пдф. Закончилось предсказуемо.
     

  • 1.45, Аноним (45), 22:17, 16/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Какие компании себя так еще не заморали?
     
     
  • 2.46, Сейд (ok), 22:47, 16/06/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    TP-Link
     
     
  • 3.55, iPony129412 (?), 06:58, 17/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > TP-Link

    Это по тому что он у тебя?

    https://www.opennet.ru/keywords/tp-link.html

    Уязвимости везде встречаются, но если вот так.


    > Уязвимость в TP-Link SR20, позволяющая получить root-доступ из локальной сети.

     
     
  • 4.56, iPony129412 (?), 06:59, 17/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Не дописал

    > Информация о проблеме была передана в TP-Link ещё в декабре через специальную форму для информирования об уязвимостях, но компания никак не отреагировали на сообщение. После этого Гаррет попытался связаться с представителями TP-Link через Twitter, но также не получил ответа.

     
  • 4.67, Сейд (ok), 11:07, 17/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ага. Но не из глобальной сети же!
     
     
  • 5.68, iPony129412 (?), 11:12, 17/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Тут вроде тоже не WAN
     
     
  • 6.69, Сейд (ok), 11:36, 17/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Да, кажется. Но там одно устройство, а тут сотни.
     
  • 2.53, Аноним (49), 23:16, 16/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    D-Link со своим успехом admin/admin в WAN, наверное, непревзойдён.
     
  • 2.63, Аноним (-), 08:00, 17/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >  Какие компании себя так еще не заморали?

    Прошивки openwrt :). Там за безопасностью явно лучше следят.

     
  • 2.66, Аноним (66), 10:35, 17/06/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Это верный вопрос. Надо сличить весь список со списком "замаранных". Поверь, такие "незамаранные" компании есть (название не скажу - у меня ее роутер). Надолго ли...
     

  • 1.70, Аноним (70), 11:36, 17/06/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ожидаем пополнения в ботнетах
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру