lunes, 19 de diciembre de 2016

Vulnerabilidad crítica en múltiples routers Netgear

Se ha confirmado una vulnerabilidad de inyección de comandos en múltiples modelos de routers Netgear. El problema es especialmente grave dada la facilidad con que se puede reproducir.

Netgear ha confirmado el problema y ratifica que afecta a los siguientes modelos:
  • R6250
  • R6400
  • R6700
  • R6900
  • R7000
  • R7100LG
  • R7300DST
  • R7900
  • R8000
  • D6220
  • D6400
La vulnerabilidad puede permitir a un atacante remoto ejecutar comandos arbitrarios en los dispositivos afectados. Basta con tener acceso a la interfaz de administración web del router (aunque no se esté autenticado). Para conseguir su objetivo el atacante puede convencer o engañar al usuario para que visite un sitio web específicamente creado.

El ataque se reduce a:
http://<router_IP>/cgi-bin/;COMANDO

Un atacante puede abrir un Telnet remoto en el puerto 45, con una petición como:
http://RouterIP/;telnetd$IFS-p$IFS'45'

Como contramedida se puede desactivar la interfaz de administración web, mediante el siguiente comando:
http://<router_IP>/cgi-bin/;killall$IFS'httpd'

"NETGEAR is working on a production firmware version that fixes this command injection vulnerability and will release it as quickly as possible." ("NETGEAR está trabajando en una versión de firmware de producción que corrija esta vulnerabilidad de inyección de comandos y la publicará lo más rápido posible")

En la actualidad existen versiones beta del firmware que solucionan el problema para los siguientes modelos:

Más información:

Netgear R7000 - Command Injection

Multiple Netgear routers are vulnerable to arbitrary command injection

Security Advisory for VU 582384


Antonio Ropero
Twitter: @aropero