Исследователи обнаружили полдюжины уязвимостей высокого риска в последней версии прошивки для роутера Netgear Nighthawk R6700v3. На момент публикации недостатки остаются не исправленными.
Nighthawk R6700 - это популярный двухбанковский WiFi-маршрутизатор, рекламируемый с игровыми функциями, интеллектуальным родительским контролем и внутренним оборудованием, достаточно мощным для удовлетворения потребностей опытных домашних пользователей.
Исследователи из компании Tenable, занимающейся кибербезопасностью, обнаружили шесть недостатков, которые могут позволить злоумышленнику в сети получить полный контроль над устройством:
Запрос POST с принудительной проверкой обновлений для использования CVE-2021-20173
Источник: Tenable
Недавно обнаруженные недостатки касаются прошивки версии 1.0.4.120, которая является последней версией для устройства.
Пользователям рекомендуется изменить учетные данные по умолчанию на что-то уникальное и надежное и следовать рекомендуемым методам безопасности для более надежной защиты от заражения вредоносными программами.
Кроме того, регулярно проверяйте портал загрузки микропрограмм Netgear и устанавливайте новые версии, как только они станут доступны. Также рекомендуется включить автоматические обновления на вашем роутере.
Текущий отчет о безопасности относится к Netgear R6700 v3, который все еще поддерживается, а не к Netgear R6700 v1 и R6700 v2, срок эксплуатации которых истек. Если вы все еще используете старые модели, рекомендуется их заменить.
Компания Tenable сообщила поставщику о вышеуказанных проблемах 30 сентября 2021 г., и, несмотря на то, что впоследствии произошел обмен некоторой информацией в виде разъяснений и предложений, проблемы остались нерешенными.
Мы связались с Netgear с просьбой прокомментировать вышеизложенное, и мы добавим обновление к этой истории, как только получим от них ответ.
Перевод - Google
Bleeping Computer
Nighthawk R6700 - это популярный двухбанковский WiFi-маршрутизатор, рекламируемый с игровыми функциями, интеллектуальным родительским контролем и внутренним оборудованием, достаточно мощным для удовлетворения потребностей опытных домашних пользователей.
Исследователи из компании Tenable, занимающейся кибербезопасностью, обнаружили шесть недостатков, которые могут позволить злоумышленнику в сети получить полный контроль над устройством:
- CVE-2021-20173 : ошибка внедрения команды после аутентификации в функции обновления устройства, что делает его уязвимым для инъекции команд.
- CVE-2021-20174 : HTTP используется по умолчанию для всех сообщений веб-интерфейса устройства, что создает риск перехвата имени пользователя и пароля в виде открытого текста .
- CVE-2021-20175 : интерфейс SOAP (порт 5000) по умолчанию использует HTTP для связи, что создает риск перехвата имени пользователя и пароля в виде открытого текста .
- CVE-2021-23147 : выполнение команды от имени пользователя root без аутентификации через соединение порта UART. Для использования этой уязвимости требуется физический доступ к устройству.
- CVE-2021-45732 : манипуляции с конфигурацией с помощью жестко запрограммированных процедур шифрования, позволяющих изменять настройки, заблокированные по соображениям безопасности.
- CVE-2021-45077 : все имена пользователей и пароли для служб устройства хранятся в виде открытого текста в файле конфигурации.
Запрос POST с принудительной проверкой обновлений для использования CVE-2021-20173
Источник: Tenable
Недавно обнаруженные недостатки касаются прошивки версии 1.0.4.120, которая является последней версией для устройства.
Пользователям рекомендуется изменить учетные данные по умолчанию на что-то уникальное и надежное и следовать рекомендуемым методам безопасности для более надежной защиты от заражения вредоносными программами.
Кроме того, регулярно проверяйте портал загрузки микропрограмм Netgear и устанавливайте новые версии, как только они станут доступны. Также рекомендуется включить автоматические обновления на вашем роутере.
Текущий отчет о безопасности относится к Netgear R6700 v3, который все еще поддерживается, а не к Netgear R6700 v1 и R6700 v2, срок эксплуатации которых истек. Если вы все еще используете старые модели, рекомендуется их заменить.
Компания Tenable сообщила поставщику о вышеуказанных проблемах 30 сентября 2021 г., и, несмотря на то, что впоследствии произошел обмен некоторой информацией в виде разъяснений и предложений, проблемы остались нерешенными.
Мы связались с Netgear с просьбой прокомментировать вышеизложенное, и мы добавим обновление к этой истории, как только получим от них ответ.
Перевод - Google
Bleeping Computer
Последнее редактирование модератором: