聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
思科Talos团队发布了Netgear Orbi 740系列路由器和扩展卫星中多个漏洞的PoC exploit,其中一个漏洞是严重的远程命令执行漏洞。
Netgear Orbi 是适用于家庭用户的流行网络无线网格系统,可同时最多为5000至1.25万平方英尺之间的空间的40台联网设备提供强大的覆盖率和吞吐量。
思科研究人员在2022年8月30日向Netgear 报告,并督促用户将固件升级至2023年1月19日发布的最新版本4.6.14.3。
Orbi 漏洞
第一个也是最严重的漏洞是CVE-2022-37337(CVSS评分9.1),是位于Netgear Orbi 路由器访问控制功能中的一个可利用命令执行漏洞。攻击者可利用公开可访问的管理控制台,向该易受攻击的路由器发送特殊构造的HTTP请求,在设备上执行任意命令。
第二个漏洞是CVE-2022-38452,是位于路由器telnet服务中的高危远程命令执行漏洞,该漏洞的利用要求合法凭据和MAC地址。这是Netgear公司在一月固件更新中发布的四个漏洞中唯一一个没有修复的漏洞,因此目前尚未修复。
第三个漏洞是CVE-2022-36429,是位于Netgear Orbi 卫星后端通信功能中的一个高危命令注入漏洞,该功能与路由器相连以拓展网络覆盖。攻击者可向设备发送特殊构造的JSON对象序列,利用该漏洞。不过成功攻击需要获取管理员权限。
第四个漏洞CVE-2022-38458是一个影响Netgear Orbi路由器远程管理功能的明文传输问题,可导致中间人攻击,从而导致敏感信息遭泄露。
在发布这些漏洞详情时,思科并未发现它们遭利用的迹象。不过考虑到CVE-2022-37337的PoC已公开,攻击者可尝试查找配置不当且公开可访问的路由器实施利用。
好消息是这些利用要求本地访问权限、合法的登录凭据或要求管理员控制台可公开访问,使得漏洞难以遭利用。然而,从Shodan 快速搜索就可发现近1万台Orbi设备可从互联网公开访问,且多数位于美国。如果用户使用了管理员凭据,则可能遭攻击。
虽然Orbi确实支持自动安装更新,但BleepingComputer表示在一台Orbi设备上新固件并未自动安装,而改设备运行的是在2022年8月发布的软件。因此Netgear Orbi 750系列设备机主应当手动检查运行的是否是最新版本,如不是,则应尽快升级固件。
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
速修复!Netgear 61款路由器和调制解调器中存在多个严重的预认证RCE漏洞
这个严重 0day 可导致79款 Netgear 路由器遭远程接管,无补丁
原文链接
https://www.bleepingcomputer.com/news/security/poc-exploits-released-for-netgear-orbi-router-vulnerabilities/
题图:Pexels License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~