Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Na święta biegiem do sklepu po router Netgear – mają masę 0-dayów

23 grudnia 2016, 14:45 | W biegu | komentarze 3

Netgear nie pali się do zwiększania podstawowego poziomu bezpieczeństwa na swoich routerach.

Niedawno okazało się, że podatnych na wykonanie kodu w OS jest więcej urządzeń niż było to raportowane. A teraz mamy całą serię bugów zapewne będących dla badaczy na wagę złota.

Jest to choćby stack overflow (pokazane są też szczegóły techniczne – idealne dla początkujących, którzy chcą się wdrożyć w temat…), czy rzeczy bardziej przystępne dla nietechnicznych;  jak np. dostać się do panelu administracyjnego bez uwierzytelnienia?

Normalnie dostajemy się przeglądarką do pliku apply.cgi, ale wystarczy taki sam request zrobić do apply_noauth.cgi i router nie prosi nas o hasło.
====
POST /apply_noauth.cgi?/reboot_waiting.htm HTTP/1.1
Host: 192.168.1.1
Content-Type: application/x-www-form-urlencoded
Content-Length: 26

submit_flag=reboot&yes=Yes

Jak zareagował Netgear na zgłoszenie?

NETGEAR did not respond to any emails, so THERE IS NO FIX for these vulnerabilities.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. EEee, bo to jest funkcja specjalna a nie błąd ;-P

    Odpowiedz
  2. przemek

    Ten artykuł pokazuje ewidentnie przykład nierzetelnego dziennikarstwa. „Nie ważne co napiszemy ważne żebyśmy byli pierwsi.”
    – Jak długo człowiek czekał na odpowiedz? 5 min? Warto byłoby napisać. Pokazałoby to czy rzeczywiście nie odpowiedzieli
    – gdzie sprawa została zgłoszona? Do kumpla? Listem? Telegramem?

    Ostatni mieli buga w routerach i w ciągu 4 dni była beta z nowym softem.
    Gdybyście zainteresowali się tematem a nie kopiowali z innych portali to może nie zaczynalibyście od zdania „netgear nie pali się do zwiększania…” a napisali ostatni bug załatali w 4 dni ale mają kolejne

    Odpowiedz
    • 1. Tak, reagują rewalacyjnie, a łatają nawet przed zgłoszeniem:

      „Timeline of disclosure:

      26.09.2016: Email sent to NETGEAR (security@netgear.com) asking for PGP key, no response.
      28.10.2016: Email sent to NETGEAR (security@netgear.com) asking for PGP key, no response.
      26.11.2016: Disclosed vulnerability to CERT through their web portal.
      29.11.2016: Received reply from CERT. They indicated that NETGEAR does not cooperate with them, so they recommended getting CVE numbers from MITRE and releasing the vulnerability information.
      Email to MITRE requesting CVE numbers, no response.
      Email sent to NETGEAR (security@netgear.com) asking for PGP key, no response.
      20.12.2016: Public disclosure.”

      Już wiele lat temu były recenzje Netgeara na Amazonie – idealny sprzęt jako 'mięso armatnie’ na Defcona. I jakoś przez lata 'nie palą się’ żeby to zmienić…

      2. Apropos „Nie ważne co napiszemy ważne żebyśmy byli pierwsi.”

      Pssssst, lepiej siedzieć cicho o nagle publicznych 0-dayach. Albo lepiej – nie czytać sekuraka – nie będziemy się tak stresowali :-)

      Odpowiedz

Odpowiedz