Netgear Orbi 750: divulgate vulnerabilità e proof of concept. Aggiornare subito

I ricercatori di sicurezza Cisco Talos hanno divulgato alcune vulnerabilità a carico dei router della serie Orbi 750 di Netgear e nei satelliti extender: si tratta di un problema classificato con severità "critica" che è stato scoperto ad agosto e segnalato a Netgear il 30 agosto 2022. I ricercatori di sicurezza invitano gli utenti ad aggiornare i firmware dei dispositivi interessati alla versione 4.6.14.3 rilasciata lo scorso 19 gennaio 2023.

La prima vulnerabilità, tracciata con il codice CVE-2022-37337, riguarda l'esecuzione di comandi da remoto nella funzionalità di controllo degli accessi del router Netgear Orbi, che può consentire ad un aggressore di sfruttare le console di amministrazione inviando al router vulnerabile una richiesta HTTP opportunamente formata per l'esecuzione di comandi arbitrari.

Anche CVE-2022-38452 è una vulnerabilità di esecuzione comandi remoti, che riguarda però l'interfaccia Telnet del router: per poterla sfruttare è necessario avere a disposizione credenziali di accesso valide e l'indirizzo MAC del router. Questa vulnerabilità è l'unica, tra le divulgate, a non essere ancora stata corretta con le patch rilasciate a gennaio e i ricercatori Cisco Talos hanno deciso di rilasciare un proof-of-concept per il suo sfruttamento così da esortare Netgear al rilascio di una patch.

Una terza vulnerabilità riguarda invece la possibilità di iniettare comandi nella funzionalità di comunicazione back-end di Netgear Orbi Satellite, dispositivo che si collega ai router allo scopo di estendere la copertura di rete. Questa vulnerabilità, tracciata con il codice CVE-2022-36429, può essere sfruttata inviando al dispositivo una sequenza di oggetti JSON opportunamente formati. In questo caso, però, perché l'attacco possa essere portato a termine è necessario essere in possesso di un token amministratore.

La quarta e ultima vulnerabilità divulgata, CVE-2022-38458, riguarda un problema di trasmissione in chiaro che può avere conseguenze sulla funzionalità di gestione remota dei router Netgear Orbi, lasciando aperta la possibilità di condurre attacchi man-in-the-middle con il rischio di sottrazione e divulgazione di dati sensibili.

Cisco ha affermato che al momento della divulgazione delle vulnerabilità non era a conoscenza di alcun caso di sfruttamento attivo. La disponibilità pubblica di un PoC per la vulnerabilità CVE-2022-37337 potrebbe però spingere i malintenzionati a individuare router vulnerabili e pubblicamente accessibili così da poterla sfruttare. In generale però tutte queste vulnerabilità richiedono di accesso locale, credenziali valide o la console di amministrazione per poter essere effettivamente sfruttabili.

Nonostante le patch rilasciate a gennaio, però, una scansione effettuata con il motore di ricerca Shodan ha individuato quasi 10 mila dispositivi Orbi pubblicamente accessibili da Internet, per la maggior parte negli Stati Uniti. Il rischio principale è per quei dispositivi che sono configurati ancora con le credenziali di accesso predefinite.