Vulnerabilità critica presente su parecchi router Netgear: cosa fare per proteggersi

Vulnerabilità critica presente su parecchi router Netgear: cosa fare per proteggersi

Alcuni modelli di router Netgear sono vulnerabili ad un hack di semplice realizzazione. La compagnia è al corrente della situazione e sta lavorando ad un fix, nel frattempo ecco cosa potete fare

di pubblicata il , alle 12:31 nel canale Sicurezza
Netgear
 

Alcuni modelli di router Netgear sono vulnerabili ad un hack che consente ad eventuali utenti malintenzionati di prendere il controllo dello stesso router. Un potenziale exploit è stato reso noto lo scorso venerdì da un ricercatore che si fa chiamare Acew0rm, il quale sostiene di aver notificato la presenza del bug a Netgear lo scorso mese di agosto senza tuttavia ricevere risposta. Inizialmente si pensava che i modelli coinvolti fossero tre: R7000, R6400 e R8000, ma la lista potrebbe essere più lunga. Un altro ricercatore ha dimostrato che anche i modelli R7000P, R7500, R7800, R8500 e R9000 sono suscettibili all'hack rivelato da Acew0rm.

L'U.S. CERT Coordination Center (CERT/CC) della Carnegie Mellon University ha ratificato la falla come critica, assegnandole una valutazione di 9,3 su 10 nel Common Vulnerability Scoring System (CVSS).

Il problema deriva da un bug nell'interfaccia di gestione web-based del router e consente l'iniezione e l'esecuzione di comandi shell arbitrari su un dispositivo affetto. La vulnerabilità può essere sfruttata con una semplice richiesta HTTP che non richiede alcuna autenticazione, quindi gli hacker possono attaccare i router con attacchi cross-site request forgery (CSRF), funzionanti anche quando la parte gestionale dell'interfaccia non è collegata su internet. Convincendo l'utente ad accedere ad una pagina web sviluppata ad-hoc, gli attacchi colpiscono il browser mandando richieste non autorizzate attraverso lo stesso, forzando l'exploit del router attraverso una rete LAN.

Come vedere se il proprio modello di router è vulnerabile?

Consigliamo a tutti i possessori di modem Netgear di verificare se il proprio modello è vulnerabile attraverso una semplice procedura. Con un computer connesso al router via LAN è sufficiente scrivere nella casella degli indirizzi l'URL: http://[router_ip_address]/cgi-bin/;uname$IFS-a , laddove al posto della dicitura [router_ip_address] bisogna inserire l'IP locale. In alcuni casi, su alcuni modelli, funziona anche se si sostituisce il testo fra parentesi quadre con www.routerlogin.net o www.routerlogin.com. In ogni caso se la pagina mostra informazioni il vostro router è attualmente vulnerabile.

Cosa fare per proteggersi temporaneamente?

Netgear ha confermato la vulnerabilità sui modelli di router summenzionati e ha assicurato gli utenti che è attualmente al lavoro su un fix: "È la missione di Netgear essere leader innovativo nella connessione del mondo ad internet. Per raggiungere questa missione puntiamo a ottenere e guadagnare la fiducia di tutti gli utenti che utilizzano prodotti Netgear per la connettività", ha detto pubblicamente senza però rivelare i nomi dei router ufficialmente coinvolti.

Il CERT ha raccomandato di smettere di utilizzare i router della compagnia, se vulnerabili, fino a quando una patch ufficiale non verrà rilasciata da Netgear. Tuttavia esiste una sorta di fix temporaneo che consigliamo a tutti gli utenti che utilizzano un router vulnerabile.

Il piccolo trucchetto consiste nell'inserire nella casella degli indirizzi del browser la seguente stringa: http://[router_IP_address]/cgi-bin/;killall$IFS’httpd’ , sostituendo come sopra la scritta [router_IP_address] con il proprio IP locale. Si tratta di una soluzione drastica che sospende il funzionamento dell'interfaccia di gestione del router, ma fin quando quest'ultima è disattivata l'exploit non può prendere piede. La soluzione è inoltre temporanea: è infatti sufficiente un riavvio del router per ripristinare l'interfaccia di gestione e ritornare vulnerabili all'exploit.

Potrebbe inoltre servire cambiare l'indirizzo locale del router, solitamente 192.168.0.1 o 192.168.1.1, dal momento che gli attacchi CSRF vengono spesso effettuati su quegli IP locali.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

10 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
djfix1313 Dicembre 2016, 14:03 #1
io ho un R7000 con firmware V1.0.7.2_1.1.93 che è sensibile a questo exploit

e notifico che Netgear sta già rilasciando firmware beta qui
http://kb.netgear.com/000036453/R70...on-1-0-7-6-Beta
sinergine13 Dicembre 2016, 14:27 #2
con R6250 se provo il link sopra mi chiede la password di accesso. Quindi non ha questo problema?
niky8913 Dicembre 2016, 14:28 #3
Le versioni con il modem integrato come il D7000 sono anch'esse vulnerabili?
LorenzAgassi13 Dicembre 2016, 14:32 #4
Il problema deriva da un bug nell'interfaccia di gestione web-based del router




Non posseggo Router Netgear ma solo apparecchi Dlink, Gateway/Router compreso e piazzato dopo il Router Fibra settato in DMZ ( per non farmi eventualmente remotare il Router Fibra in comodato dall'ISP fornitore della connessione) ed a prescindere da questo la prima cosa che disabilito è la gestione Web Based dalla WAN che tiene porte Tcp/ip aperte ed in Listen sul Router ..cosi' come disabilito l'UPnP + fisso gli Ip dei DNS a mano sui dispoisitivi in LAN ovvero NON faccio mai fare al Router il Proxy DNS + cambio anche l'IP di default 192.168.0.1 etc con altri in classe 200.200.X.X ..ovviamente Firewall Hardware settato sempre per non rispondere a comandi ICMP ( Ping etc ) e lavorare in modalità Stealth Port
jepessen13 Dicembre 2016, 16:06 #5
Scusate l'ignoranza...

Ho capito come un cracker puo' entrare nel router attraverso questo bug.

Non ho capito pero' quali sono i danni che puo' provocare una volta effettuato l'exploit... Cosa potrebbe succedere?
UIQ13 Dicembre 2016, 16:08 #6
Ma scusate questa vulnerabilità è la stessa di BestBuy o è un'altra cosa?!?!

http://www.dday.it/redazione/21823/...re-e-il-cestino
ilario314 Dicembre 2016, 11:41 #7
Originariamente inviato da: UIQ
Ma scusate questa vulnerabilità è la stessa di BestBuy o è un'altra cosa?!?!

http://www.dday.it/redazione/21823/...re-e-il-cestino


No, sono 2 cose diverse, cmq grazie anche te per l'info dell'altro articolo.
Bellaz8914 Dicembre 2016, 11:58 #8
Soluzione ... installare openwrt

Originariamente inviato da: jepessen
Scusate l'ignoranza...

Ho capito come un cracker puo' entrare nel router attraverso questo bug.

Non ho capito pero' quali sono i danni che puo' provocare una volta effettuato l'exploit... Cosa potrebbe succedere?


Beh, attraverso il router un attaccante puo' fare man in the middle, vedere quindi il traffico non protetto e attaccare i device connessi. Non so se ci sono casi in cui device del genere sono stati usati in botnet o per generare spam, ma tecnicamente e' possibile.
franzugo16 Dicembre 2016, 15:14 #9
Salve, ho un R7500 1° versione con fw V1.0.0.94, se digito "http://[router_ip_address]/cgi-bin/;uname$IFS-a" (inserendo l'ip del gateway)mi esce "No such file or directory": sono protetto ??
LorenzAgassi16 Dicembre 2016, 15:21 #10
Originariamente inviato da: Bellaz89
Soluzione ... installare openwrt



Beh, attraverso il router un attaccante puo' fare man in the middle, vedere quindi il traffico non protetto e attaccare i device connessi. Non so se ci sono casi in cui device del genere sono stati usati in botnet o per generare spam, ma tecnicamente e' possibile.




Un Man in the Middle per sniffare blandi dati eventualente su connessione del Browser a siti NON HTTPS TLS 1.2 in encryption AES 256bit su chiavi da 128 o 256bit anche loro con relativo certificato

Ma non a fare anche attacchi sulla macchina mittente tramite il MitM se il Firewall del Router ha controllo Ip Spoofing e la Stateful Packet Inspection sempre su Stack Tcp/ip

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^