Netgear наконец-то выпустила новую версию прошивки для находящихся под атакой маршрутизаторов. По всей видимости, такой оперативности поспособствовал тот факт, что за последние пару недель подробности этих уязвимостей были обнародованы сразу двумя ИБ-компаниями.

Эксперты швейцарской компании Compass Security Schweiz Ltd смогли обнаружить C&C-сервер и извлечь из него данные, на основании которых было установлено, что атакам уже подверглись более 10 тыс. устройств.

Представители Compass передали отчет в Netgear; 3 сентября им была предоставлена для тестирования бета-версия новой прошивки, однако вендор при этом отказался разглашать дату релиза готового изделия. Подробности уязвимости Compass раскрыла в минувшую пятницу, после того как та была пропатчена. Отдельные детали этого бага стали известны несколько ранее, 29 сентября, так как другой исследователь, Shellshock Labs, не стал дожидаться истечения 90-дневного срока.

Обновленная прошивка предназначена для следующих моделей маршрутизаторов: JNR1010v2, WNR2000v5, JWNR2010v5, WNR614, WNR618, WNR1000v4, WNR2020 и WNR2020v2.

За последние 18 месяцев число уязвимостей в маршрутизаторах и попыток захвата достигло катастрофических величин. Эта эпидемия охватила множество устройств и почти всех известных вендоров. Общая тенденция к расширению функциональности этих устройств приводит лишь к умножению багов, зачастую весьма опасных. При этом уровень защитного шифрования крайне низок, не говоря уже о том, что порой в прошивке устройства забывают дефолтные учетные данные.

Подобные уязвимости подвергают риску как корпоративных, так и индивидуальных пользователей, а их эксплойт может позволить атакующему получать полный контроль над устройством, перенаправлять весь входящий и исходящий трафик, изменив DNS-настройки, или проводить MitM-атаки и перехватывать якобы зашифрованный трафик.

Недавно исследователи из «Лаборатории Касперского» зафиксировали фарминг-кампанию, проводившуюся на территории Бразилии, в ходе которой злоумышленникам удалось получить регистрационные данные для систем онлайн-банкинга и других ценных веб-сервисов.

Об атаках на устройства, производимые Netgear, сообщили в швейцарскую национальную CERT, представители которой заявили о готовности нейтрализовать C&C-серверы. По словам IT-директора Compass Александра Эрцога (Alexandre Herzog), большинство пострадавших находятся на территории США.

Даниэль Хааке (Daniel Haake) из Compass обнаружил и в частном порядке подал отчет об уязвимости еще в июле. В конце сентября исследователи из Shellshock Labs также ее обнаружили, но решили объявить об этом публично.

Данная брешь представляет собой обход аутентификации, доступный удаленно и присутствующий в прошивках N300_1.1.0.31_1.0.1.img и N300-1.1.0.28_1.0.1.img. Уязвимость позволяет атакующему, не располагающему паролем, получить доступ к администраторскому интерфейсу маршрутизатора.

«Все, что требуется от атакующего, — это иметь возможность вызвать веб-интерфейс устройства, для чего достаточно просто находиться в той же сети, что и маршрутизатор, — заявил Эрцог. — Если на устройстве включена функция удаленного администрирования (по умолчанию она отключена), то для эксплойта уязвимости атакующему понадобится лишь доступ к Интернету. При наличии физического доступа к устройству эксплойт и вовсе является делом техники».

Категории: Уязвимости