eplus.com.ua

В 79 моделях маршрутизаторов Netgear содержится критическая уязвимость

Июнь 21
09:28 2020

79 моделей маршрутизаторов от Netgear содержат критическую уязвимость, эксплуатация которой позволяет злоумышленникам удаленно перехватить контроль над устройством.

Уязвимость была обнаружена двумя исследователями безопасности — Адамом Николсом (Adam Nichols) из компании GRIMM и специалистом, использующим псевдоним d4rkn3ss, который работает на вьетнамского интернет-провайдера VNPT ISC.

По словам Николса, уязвимость затрагивает 758 различных версий прошивки, использовавшихся в 79 маршрутизаторах Netgear на протяжении многих лет. Проблема содержится в компоненте web-сервера внутри уязвимого встроенного программного обеспечения маршрутизатора Netgear.

Web-сервер используется для питания встроенной панели администрирования маршрутизатора. Как отметил специалист из GRIMM, сервер не проверяет должным образом вводимые пользователем данные, не использует stack cookies для защиты своей памяти, а двоичный файл сервера не компилируется как независимый от расположения исполняемый файл. В связи с этим рандомизация размещения адресного пространства (ASLR) никогда не применяется.

Отсутствие надлежащих мер безопасности предоставляет злоумышленнику возможность формировать вредоносные HTTP-запросы, которые можно использовать для перехвата контроля над маршрутизатором.

Размещенный на GitHub PoC-код для эксплуатации уязвимости демонстрирует процесс запуска демона Telnet с правами суперпользователя без пароля.

Оба исследователя безопасности уведомили Netgear о своих находках в начале года, однако компания до сих пор не выпустила исправления для уязвимости.

C полным списком уязвимых версий прошивки для каждой модели маршрутизатора можно ознакомиться здесь.

Источник: securitylab.ru

Share

Статьи по теме

Последние новости

Украина отвергла предложение «земля в обмен на мир»

Читать всю статью

Наши партнеры

UA.TODAY - Украина Сегодня UA.TODAY

EA-LOGISTIC: Транспортная компания с высоким стандартом обслуживания и надежности.