Netgear-routers door beveiligingslek in webserver op afstand over te nemen

[Captain Kirk]

Een kwetsbaarheid in de webserver van tientallen modellen Netgear-routers maakt het mogelijk om de apparaten op afstand over te nemen en een beveiligingsupdate is niet beschikbaar. Het gaat onder andere om de Netgear R6700 en R7000, maar ook routerfirmware uit 2007 bleek kwetsbaar te zijn.

De routers beschikken over een webserver die gebruikersinvoer van het netwerk verwerkt en gebruikt voor het uitvoeren van allerlei CGI-functies. Het beveiligingslek wordt veroorzaakt doordat de webserver, die standaard op poort 80 luistert, niet goed omgaat met gebruikersinvoer. Hierdoor kan een aanvaller een stack-based buffer overflow veroorzaken en code met rootrechten uitvoeren. Zo is het bijvoorbeeld mogelijk om als root een telnet daemon te starten waarmee op de router kan worden ingelogd.

Daarnaast blijkt dat Netgear heeft nagelaten om verschillende beveiligingsmaatregelen door te voeren wat misbruik van de kwetsbaarheid vereenvoudigt. Het beveiligingslek werd onder andere gevonden door Adam Nichols in de firmware van de Netgear R7000. De onderzoeker ontdekte in totaal 79 Netgear-apparaten en 758 firmware-images waarin de kwetsbare webserver in aanwezig is. Het gaat onder andere om firmware voor de Netgear WGT624v4 uit 2007.

Nichols was niet de enige die het probleem ontdekte. Een andere onderzoeker met het alias "d4rkn3ss" vond het beveiligingslek ook, alleen dan in de Netgear R6700, en rapporteerde dit aan het Zero Day Initiative (ZDI). Het ZDI, dat Netgear op 8 januari van dit jaar informeerde, geeft leveranciers standaard 120 dagen de tijd om een beveiligingsupdate te ontwikkelen. Netgear vroeg om de deadline naar eind juni te verlengen. Het ZDI ging akkoord met 15 juni. Eind mei vroeg Netgear voor een tweede keer om een verlenging, maar daar ging het ZDI niet mee akkoord, waarop de informatie afgelopen maandag werd gepubliceerd.

Volgens het ZDI is de kwetsbaarheid alleen te misbruiken door "network-adjacent" aanvallers die het apparaat kunnen benaderen. Authenticatie is daarbij niet vereist. Het ZDI adviseert dan ook om alleen vertrouwde apparaten toegang tot de router te geven. Nichols laat echter weten dat de kwetsbaarheid ook via een Cross-Site Request Forgery (CSRF)-aanval is te misbruiken. In dit geval is het voldoende wanneer een gebruiker met een kwetsbare browser een kwaadaardige website bezoekt. Op een schaal van 1 tot en met 10 wat betreft de impact is de kwetsbaarheid met een 8,8 beoordeeld.

 

bron: security.nl