Опубликованы эксплойты для уязвимостей в роутерах Netgear

В сети опубликованы PoC-эксплойты для уязвимостей в маршрутизаторах Netgear серии Orbi 750 и сателлитах Netgear.

Netgear Orbi — это популярная мэш-система для домашних пользователей, обеспечивающая надежное покрытие и высокую пропускную способность на 40 одновременно подключенных устройствах на площади от 465 до 1160 квадратных метров.

Недостатки в системе Netgear были обнаружены командой Cisco Talos и исправлены производителем 30 августа 2022 года. Cisco призывает пользователей обновить прошивку до последней версии 4.6.14.3, выпущенной 19 января 2023 года.

1. RCE-уязвимость CVE-2022-37337 (CVSS: 9.1) в функциях управления доступом маршрутизатора Netgear Orbi. Злоумышленник может использовать общедоступные консоли администратора, отправив специально созданный HTTP-запрос на уязвимый маршрутизатор для выполнения произвольных команд на устройстве. Техническое описание и PoC .
2. RCE-уязвимость CVE-2022-38452 (CVSS: 7.2) находится в службе «telnet» маршрутизатора. Для эксплуатации недостатка требуются действительные учетные данные и MAC-адрес. Стоит отметить, что этот недостаток не был устранен в январском обновлении прошивки Netgear, поэтому он остается неисправленным. Техническое описание и PoC .
3. Уязвимость внедрения кода CVE-2022-36429 (CVSS: 7.2) содержится в сателлитах Netgear Orbi Satellite, которые подключаются к маршрутизатору для расширения покрытия сети. Злоумышленник может воспользоваться этой уязвимостью, отправив на устройство последовательность специально созданных JSON-объектов. Однако успешной атаки требуется получение токена администратора. Техническое описание и PoC .
4. Недостаток CVE-2022-38458 (CVSS: 6.5) влияет на функции удаленного управления маршрутизатора Netgear Orbi и позволяет проводить MiTM-атаку, которая может привести к раскрытию конфиденциальной информации. Техническое описание и PoC .

На момент раскрытия информации Cisco не было известно ни о каких случаях активной эксплуатации вышеуказанных уязвимостей. Однако, учитывая доступность PoC для CVE-2022-37337, хакеры могут попытаться найти неправильно сконфигурированные общедоступные маршрутизаторы для эксплуатации.

Хорошая новость заключается в том, что для этих эксплойтов требуется локальный доступ, действительные учетные данные для входа или общедоступная консоль администратора, что значительно усложняет эксплуатацию.

Однако поиск с помощью сервиса Shodan обнаружил почти 10 000 устройств Orbi, доступных в Интернете, причем большинство из них находится в США. Если кто-либо использует учетные данные администратора по умолчанию, он потенциально может быть уязвим для атак.

Несмотря на то, что Orbi поддерживает автоматическую установку обновлений, новая прошивка не устанавливалась автоматически, и на обнаруженных устройствах использовалось ПО, выпущенное в августе 2022 года. Поэтому владельцам устройств Netgear Orbi 750 следует вручную проверить, установлена ​​ли на них последняя версия, и, если нет, как можно скорее обновить прошивку.