Уязвимость, присутствующая в маршрутизаторах производства Netgear, подробности которой были обнародованы исследователями двух различных ИБ-компаний, подверглась атаке.

Тем временем Netgear так и не выпустила новую версию прошивки, которую она, по всей видимости, уже разработала, если верить словам специалистов одной из ИБ-компаний.

Александр Эрцог (Alexandre Herzog), IT-директор швейцарской компании Compass Security Schweiz Ltd, в комментарии Threatpost заявил, что одна из жертв подметила нестабильность в работе маршрутизатора и, пытаясь выяснить причину, обнаружила, что находится под атакой. Как оказалось, все DNS-запросы перенаправлялись на сервер атакующего. Жертва предоставила экспертам Compass IP-адрес одного из C&C-серверов, использованного в ходе атаки. Эрцог заявил, что специалисты его компании смогли скачать данные с сервера атакующего, которые позволили установить, что более 10 тыс. маршрутизаторов уже атакованы злоумышленником.

Эксперт заявил, что Compass проинформировала специалистов швейцарской национальной CERT, которые заявили о готовности нейтрализовать сервер атакующего, а также сообщил, что его компания обратилась к Netgear и ряду провайдеров с целью ускорить установку патча на уязвимые устройства. По данным CERT Швейцарии, большинство жертв, подвергшихся атаке, находятся на территории США. Эрцог отметил, что швейцарской CERT не удалось связаться с Netgear.

На момент публикации представители вендора еще не ответили на просьбу Threatpost прокомментировать ситуацию.

Даниэль Хааке (Daniel Haake) из Compass обнаружил и в частном порядке подал отчет об уязвимостях еще в июле. В конце сентября исследователи из Shellshock Labs также натолкнулись на эти уязвимости, но решили их подробности разгласить публично.

Баг представляет собой обход аутентификации, доступный удаленно и присутствующий в прошивках N300_1.1.0.31_1.0.1.img и N300-1.1.0.28_1.0.1.img. Уязвимость позволяет атакующему, не располагающему паролем, получить доступ к администраторскому интерфейсу маршрутизатора.

«Все, что требуется от атакующего, — это иметь возможность вызвать веб-интерфейс устройства, для чего достаточно просто находиться в той же сети, что и маршрутизатор, — заявил Эрцог. — Если на устройстве включена функция удаленного администрирования (по умолчанию она отключена), то для эксплойта уязвимости атакующему понадобится лишь доступ к Интернету. При наличии физического доступа к устройству его эксплойт и вовсе является делом техники».

Получив полный доступ к панели администрирования и управления настройками, атакующий сможет перехватывать трафик, изменять DNS-конфигурацию, чтобы перенаправить трафик на сторонний сервер, или же воспользоваться одной из доступных утилит, например SSLstrip, разработанной Мокси Марлинспайком (Moxie Marlinspike), чтобы сделать откат до менее надежного SSL-соединения.

Представители Compass в своем бюллетене пишут, что атакующему, которому было отказано в аутентификации, понадобится лишь несколько раз пройти по определенной URL-ссылке; это позволит ему, минуя ввод учетных данных, получить доступ к администраторской панели.

Согласно таймлайну, опубликованному в бюллетене Compass, Netgear получила электронное письмо, уведомляющее об уязвимости, 21 июля, а 23 июля та же информация была продублирована сообщением в чат техподдержки, которое на следующий день было передано техническим специалистам компании. Запрос о статусе обновления, отосланный Compass 29 июля, остался без ответа; спустя месяц исследователи уведомили Netgear о своем намерении обнародовать подробности уязвимостей по истечении 90-дневного срока.

Бета-версия новой прошивки была передана экспертам Compass 3 сентября, и они удостоверились, что уязвимости устранены. Спустя еще шесть дней представители Netgear сообщили экспертам, что не намерены разглашать дату релиза обновленной версии прошивки. Тем временем 29 сентября исследователи из Shellshock Labs обнародовали подробности уязвимостей, а 6 октября их примеру последовала и Compass.

«Это крайне непросто — создать новую прошивку, выпустить ее и убедиться, что все пользователи ее установили, — заявил Эрцог. — Механизм аутентификации, используемый в маршрутизаторе, как мне кажется, чрезмерно сложный, так что, возможно, я недооцениваю объем необходимых усилий. Однако подобный вопрос следует адресовать представителям Netgear, ведь они так и не удосужились объяснить, чем вызваны задержки с выпуском прошивки».

Категории: Главное, Уязвимости