Se
ha confirmado una
vulnerabilidad de inyección de comandos en múltiples modelos de routers
Netgear. El problema es especialmente grave dada la facilidad con que se puede
reproducir.
Netgear ha confirmado
el problema y ratifica que afecta a los
siguientes modelos:
- R6250
- R6400
- R6700
- R6900
- R7000
- R7100LG
- R7300DST
- R7900
- R8000
- D6220
- D6400
La vulnerabilidad puede
permitir a un atacante remoto ejecutar comandos arbitrarios en los dispositivos
afectados. Basta con tener acceso a la interfaz de administración web del router
(aunque no se esté autenticado). Para conseguir su objetivo el atacante puede convencer
o engañar al usuario para que visite un sitio web específicamente creado.
El ataque se reduce a:
http://<router_IP>/cgi-bin/;COMANDO
Un atacante puede abrir un Telnet
remoto en el puerto 45, con una petición como:
http://RouterIP/;telnetd$IFS-p$IFS'45'
Como contramedida se puede
desactivar la interfaz de administración web, mediante el siguiente comando:
http://<router_IP>/cgi-bin/;killall$IFS'httpd'
"NETGEAR is working on a production firmware version that fixes this command injection vulnerability and will release it as quickly as possible." ("NETGEAR está trabajando en una versión de firmware de producción que corrija esta vulnerabilidad de inyección de comandos y la publicará lo más rápido posible")
En la actualidad existen
versiones beta del firmware que solucionan el problema para los siguientes
modelos:
R6250
R6700
R6900
R7100LG
R7300DST
R7900
D6220
D6400
Y las siguientes versiones de
producción del firmware:
R6400
R7000
R8000
Más información:
Netgear R7000 - Command Injection
Multiple Netgear routers are vulnerable to
arbitrary command injection
Security Advisory for VU 582384
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario