Компания Netgear начала раздавать бета-версии новых прошивок для устранения критической уязвимости в роутерах, преданной гласности на прошлой неделе. Эта брешь позволяет внедрять команды, а эксплойт ее предельно прост. Вендор также подтвердил, что количество уязвимых устройств линейки Nighthawk намного больше, чем было доложено ранее.

«Мы работаем над серийной версией прошивки, а пока предлагаем бета-релиз, — сказано в обновленном бюллетене компании. — Бета-версия протестирована не полностью и, возможно, не у всех будет работать. Netgear выпустила бета-версию прошивки как временное решение и настоятельно всем рекомендует скачать производственную версию, как только она появится».

Исследователь, известный как AceW0rm, сообщил в Netgear об опасной уязвимости еще в августе и через несколько месяцев, не дождавшись реакции, решился на публичное раскрытие. «Использовать ее очень просто, никаких специальных инструментов не нужно, — заявил AceW0rm журналистам Threatpost. — Результатом атаки будет полноценный захват роутера, и инициатор сможет делать все, что пожелает».

В оригинальной публикации были названы лишь два уязвимых роутера Nighthawk, однако исследователь Kalypto Pink протестировал другие модели и в некоторых обнаружил ту же брешь. Во вторник Netgear расширила список Kalypto Pink, подтвердив уязвимость R6250, R6400, R6700, R7100LG, R7300 и R7900. Бета-прошивки выпущены для моделей R6250, R6400, R6700, R7000 и R8000, ссылки для скачивания приведены в бюллетене компании.

«Netgear продолжает просматривать весь свой портфель в поисках других роутеров, которые могут содержать эту уязвимость, — пишет вендор в бюллетене. — Если таковые найдутся, мы планируем выпустить корректирующие прошивки и для них».

«Исправить положение очень легко, вполне возможно, лишь одной-двумя строками кода», — отметил со своей стороны AceW0rm.

Американский CERT/CC при университете Карнеги — Меллона тоже обновил свой бюллетень, подчеркнув, что кроме бага внедрения команд в роутерах Netgear замечены еще две уязвимости: CSRF и отсутствие механизмов аутентификации. В связи с новыми находками CERT рекомендует не только перестать пользоваться уязвимыми устройствами до выхода патча, но также отключить веб-сервер роутера командой http://<router_IP>/cgi-bin/;killall$IFS’httpd’, которая одновременно закроет доступ к административному интерфейсу — до перезагрузки устройства.

Как вариант, можно деактивировать функцию удаленного администрирования, которую использует единственный известный эксплойт. «Активация удаленного администрирования позволяет эксплуатировать уязвимость в роутере посредством прямого обращения из WAN», — пояснили представители CERT.

Категории: Уязвимости