Vulnerabilidad crítica en múltiples routers Netgear

Miércoles, Diciembre 21, 2016 - 08:01

Se ha confirmado una vulnerabilidad de inyección de comandos en múltiples modelos de routers Netgear. El problema es especialmente grave dada la facilidad con que se puede reproducir.Netgear ha confirmado el problema y ratifica que afecta a los siguientes modelos:

R6250
R6400
R6700
R6900
R7000
R7100LG
R7300DST
R7900
R8000
D6220
D6400

La vulnerabilidad puede permitir a un atacante remoto ejecutar comandos arbitrarios en los dispositivos afectados. Basta con tener acceso a la interfaz de administración web del router (aunque no se esté autenticado). Para conseguir su objetivo el atacante puede convencer o engañar al usuario para que visite un sitio web específicamente creado.

El ataque se reduce a:

http://<router_IP>/cgi-bin/;COMANDO

Un atacante puede abrir un Telnet remoto en el puerto 45, con una petición como:

http://RouterIP/;telnetd$IFS-p$IFS'45'

Como contramedida se puede desactivar la interfaz de administración web, mediante el siguiente comando:

http://<router_IP>/cgi-bin/;killall$IFS'httpd'

"NETGEAR is working on a production firmware version that fixes this command injection vulnerability and will release it as quickly as possible." ("NETGEAR está trabajando en una versión de firmware de producción que corrija esta vulnerabilidad de inyección de comandos y la publicará lo más rápido posible")

En la actualidad existen versiones beta del firmware que solucionan el problema para los siguientes modelos:

R6250

http://kb.netgear.com/000036456/R6250-Firmware-Version-1-0-4-6-Beta

R6700

http://kb.netgear.com/000036457/R6700-Firmware-Version-1-0-1-14-Beta

R6900

http://kb.netgear.com/000036462/

R7100LG

http://kb.netgear.com/000036461/R7100LG-Firmware-Version-1-0-0-28-Beta

R7300DST

http://kb.netgear.com/000036460/R7300DST-Firmware-Version-1-0-0-46-Beta

R7900