В маршрутизаторах Netgear исправлена высокоопасная уязвимость

22 сентября 2021 года

Производитель сетевого оборудования Netgear выпустил исправление для высокоопасной уязвимости удаленного выполнения кода в целом ряде моделей маршрутизаторов, позволяющей удаленному злоумышленнику получить полный контроль над уязвимой системой.

Уязвимость CVE-2021-40847 (8,1 балла из 10 по шкале оценивания опасности CVSS), затрагивает следующие модели маршрутизаторов:

R6400v2 (исправлена в версии прошивки 1.0.4.120)

R6700 (исправлена в версии прошивки 1.0.2.26)

R6700v3 (исправлена в версии прошивки 1.0.4.120)

R6900 (исправлена в версии прошивки 1.0.2.26)

R6900P (исправлена в версии прошивки 3.3.142_HOTFIX)

R7000 (исправлена в версии прошивки 1.0.11.128)

R7000P (исправлена в версии прошивки 1.3.3.142_HOTFIX)

R7850 (исправлена в версии прошивки 1.0.5.76)

R7900 (исправлена в версии прошивки 1.0.4.46)

R8000 (исправлена в версии прошивки 1.0.4.76)

RS400 (исправлена в версии прошивки 1.5.1.80)

Уязвимость присутствует в стороннем компоненте прошивки Circle, обеспечивающем функцию родительского контроля. Как оказалось, демон обновления Circle запускается по умолчанию, даже если настройки маршрутизатора не ограничивали суточное время для сайтов и приложений. Благодаря этому злоумышленники с доступом к сети могут выполнить произвольный код с привилегиями суперпользователя с помощью атаки «человек посередине».

Проблема связана с тем, как демон обновления circled подключается к Circle и Netgear для внесения в базу данных обновлений, которые не шифруются и загружаются по HTTP. Это дает злоумышленникам возможность осуществлять атаку «человек посередине» и отвечать на запросы обновлений, отправляя особым образом сконфигурированный сжатый файл базы данных, извлечение которого дает атакующим возможность переписывать исполняемые двоичные файлы вредоносным кодом.

Источники

править
 
Эта статья загружена автоматически ботом NewsBots и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.