Сотни тысяч, а возможно, и более миллиона роутеров производства Netgear содержат пару уязвимостей, грозящих раскрытием пароля. По свидетельству исследователей, при наличии физического доступа к устройству этой проблемой можно воспользоваться из локальной сети, однако хуже всего то, что эксплойт можно осуществить и удаленно.

Данную проблему обнаружил Саймон Кенин (Simon Kenin), специалист по ИБ из подразделения Spiderlabs компании Trustwave. Согласно блог-записи исследователя, удаленный эксплойт возможен, если на роутере включена опция дистанционного управления. Netgear утверждает, что этот веб-интерфейс по умолчанию деактивирован, однако, по оценке Кенина, «сотни тысяч, если не больше миллиона», устройств ныне доступны удаленно.

По свидетельству эксперта, получить пароль к роутеру очень легко, он смог это сделать с помощью простейшего запроса к веб-серверу администрирования. Установив последовательность цифр, соответствующую коду для восстановления пароля, Кенин обнаружил, что он может использовать этот идентификатор при вызове скрипта passwordrecovered.cgi. Сделать это открытие исследователю помогли два опубликованных в 2014 году эксплойта для некоторых моделей роутеров Netgear.

Чтобы оценить масштаб проблемы, Кенин написал скрипт на Python. «После нескольких попыток воспроизвести уязвимость методом проб и ошибок я обнаружил, что первый же вызов passwordrecovered.cgi выдает регистрационные данные независимо от того, какой параметр послан, — рассказывает исследователь. — Это совершенно новый баг, который мне еще нигде не встречался. Протестировав оба бага на разных моделях Netgear, я обнаружил, что мой второй баг работает на гораздо большем количестве моделей».

Переписка Trustwave с вендором по поводу обнаруженной проблемы продолжалась почти год. Отчет об уязвимости был направлен в Netgear в апреле 2016 года; список уязвимых моделей вначале включал 18 наименований, затем был расширен до 25. После ряда запросов о состоянии дел Netgear наконец отреагировала: в июле были выпущены обновления для прошивок некоторых роутеров.

В минувший уик-энд вендор вновь подтвердил наличие уязвимостей, обновив соответствующую страницу на сайте техподдержки. Пользователям рекомендуется выбрать нужную модель и установить патч, следуя инструкциям на странице загрузок. Новый список уязвимых моделей содержит 31 позицию, заплатки доступны для 18 из них.

Остальным пользователям Netgear предлагает альтернативные способы защиты; в частности, на 12 моделях роутеров рекомендуется вручную включить функцию восстановления пароля и деактивировать удаленное администрирование. «Если не выполнить оба шага, потенциальная возможность раскрытия пароля останется, — гласит запись на сайте компании. — Netgear снимает с себя всю ответственность за возможные последствия, которых можно было бы избежать, если следовать рекомендациям, приведенным в этом сообщении».

Это первая критическая уязвимость в роутерах Netgear в новом году и вторая за последние два месяца. В декабре стало известно, что некоторые роутеры линейки Nighthawk содержат уязвимость, позволяющую получить root-доступ к устройству и удаленно выполнить код. Компания быстро выпустила бета-версии обновлений для прошивок, подтвердив, что число уязвимых устройств на самом деле больше, чем было доложено ранее.

Пользуясь случаем, Netgear еще раз напомнила интернет-сообществу о недавно запущенной ею программе Bug Bounty на платформе Bugcrowd. Вендор собирается платить от $150 до $15 тыс. за каждый обнаруженный баг. Кенин и его коллеги из Trustwave узнали о планах Netgear в отношении Bug Bounty еще до своей публикации, в декабре; это известие возродило надежду, что новые баги в итоге будут пропатчены. «Мы не сомневаемся, что этот шаг не только наладит взаимоотношения между сторонними исследователями и Netgear, но также позволит наконец повысить безопасность продуктов и сервисов», — сказано в блоге Spiderlabs.

В своей записи Кенин также отметил, что с учетом угрозы со стороны Mirai возможность получения административного пароля к роутеру может обернуться большими неприятностями. «Поскольку многие повторно используют пароли, получение пароля администратора к роутеру обеспечит точку входа в сеть, — поясняет исследователь. — Это позволит увидеть все подключенные к сети устройства и попытаться получить к ним доступ с помощью того же админ-пароля».

«При наличии таких угроз, как Mirai, не исключено также, что некоторые уязвимые роутеры можно заразить и затем использовать как боты, — добавляет Кенин. — Если запуск бота невозможен, можно подменить DNS, как это наблюдала Proofpoint, с тем чтобы заразить другие машины в сети». Напомним, в декабре ИБ-исследователь Kafeine из Proofpoint предупредил об активизации атак на роутеры с помощью эксплойтов набора DNSChanger. Целью этой кампании являлась подмена DNS-настроек роутеров с целью кражи трафика у рекламных агентств; обнаружены также признаки использования эксплойт-пака DNSChanger в MitM-атаках.

Категории: Главное, Уязвимости