Negli Stati Uniti esiste un ente chiamato CERT, ovvero Computer Emergency Readiness Team, il quale ha rilasciato una nota di vulnerabilità relativa due prodotti NetGear, nello specifico i router della serie R7000 e la R6400: il primo con firmware 1.0.1.6_1.0.4 e precedenti e del secondo con firmware 1.0.7.2_1.1.93 e precedenti. Dalla community sembra che anche il modello R8000 possa esser infetto.
Il problema evidenziato mostra come un attaccante che si trova nella stessa rete locale LAN possa accedere grazie ad un exploit con privilegi di amministratore, potendo eseguire codice arbitrario o maligno.
Altrimenti, l’accesso può avvenire forzando l’utente ad aprire un determinato link, il quale non è altro che l’indirizzo del router con annesso comando che può lanciare una sessione Telnet, FTP o qualsiasi altra azione che l’attaccante voglia.
Questo implica che possono esser oggetto di un attacco per esser inglobati in una Botnet, cosa che ultimamente sta prendendo piede ed accade all’ordine del giorno.
Per vedere se siamo infetti è opportuno digitare questa stringa nel nostro browser:
http://[indirizzo-router]/cgi-bin/;uname$IFS-a
(in alternativa digitare http://www.routerlogin.net/cgi-bin/;uname$IFS-a)
se riceviamo una pagina vuota o un errore probabilmente siamo infetti. Per terminare l’accesso web-server digitare quanto segue:
http://[indirizzo-router]/cgi-bin/;killall$IFS’httpd’
(in alternativa digitare http://www.routerlogin.net/cgi-bin/;killall$IFS’httpd’)
La soluzione indicata è stata creata e scritta dal Bas’ Blog a questo indirizzo:
A temporary fix for CERT VU#582384 (CWE-77) vulnerability for Netgear R7000 and R6400 routers | Bas’ Blog
Aggiornamento del 13 dicembre: il ricercatore chiamato “Kalipto Pink” ha testato e trovato altri modelli vulnerabili e sono i seguenti:
- NetGear AC1750-Smart WiFi Router (Model R6400)
- NetGear AC1900-Nighthawk Smart WiFi Router (Model R7000)
- NetGear AC2300-Nighthawk Smart WiFi Router with MU-MIMO (Model R7000P)
- NetGear AC2350-Nighthawk X4 AC 2350 Dual Band WiFi Router (Model R7500)
- NetGear AC2600-Nighthawk X4S Smart WiFi Gaming Router (Model R7800)
- NetGear AC3200-Nighthawk AC3200 Tri-Band WiFi Router (Model R8000)
- NetGear AC5300-AC5300 Nighthawk X8 Tri-Band WiFi Router (Model R8500)
- NetGear AD7200-Nighthawk X10 Smart WiFi Router (R9000)
Il ricercatore, inoltre, riporta un altro metodo per verificare se siamo infetti, ovvero la procedura che potete trovare partendo da questo indirizzo
NetGear Vulnerability Expanded | Kalypto (in)Security
Sembra che NetGear abbia rilasciato un firmware in versione Beta che risolve il problema, ad ogni modo consigliamo di attendere il rilascio della versione definitiva e completamente testata onde evitare problemi visto che l’aggiornamento del firmware è un operazione molto delicata e se fallisce può rendere il router inutilizzabile