Urządzenia Netgear – 0day na 79 różnych urządzeń. Jest root, a patcha brak.

Przypomnijmy nieco wyświechtane powiedzenie:

The s in IoT stands for security

Chcecie tego konkretny przykład? Proszę. Badacz najpierw zlokalizował podatność klasy buffer overflow (w webserwerze urządzenia), która nie wymaga uwierzytelnienia.

Zatem jeśli port zarządzania urządzeniem mamy wystawiony do Internetu – game over.

Jeśli mamy go zamkniętego w sieci lokalnej – też jest na to sposób – podatność Cross-Site Request Forgery (patrz nasza książka). Nie ma ochrony przez CSRF na urządzeniu? Jest, ale w tym przypadku uruchamiana jest dopiero po wykonaniu podatnego fragmentu kodu :-) Można więc przygotować odpowiednio złośliwą stroną która odpali exploita via CSRF.

Czy trudno jest przygotować exploita. Łatwo. Jak bowiem niemal w całym świecie IoT, dodatkowe ochrony przed atakami klasy buffer overflow są w dużej mierze wyłączone:

In addition to lacking stack cookies, the web server is also not compiled as a Position-independent Executable (PIE), and thus cannot take full advantage of ASLR.

Producent otrzymał informacje w styczniu 2020, ale do tej pory nie ma (?) łat. Prawdopodobnie podatna jest większość urządzeń Netgeara, badacz pisze bowiem:

A lot of SOHO devices share a common software base, especially among devices created by the same manufacturer. As such, a vulnerability in one device can normally be found in similar devices by the same manufacturer. In this particular case, I was able to identify 79 different Netgear devices and 758 firmware images that included a vulnerable copy of the web server.

–ms