【更新Beta版固件下載】Netgear多個型號路由器曝遠程任意命令注入漏洞,官方提供臨時解決方案

2021-02-13 FreeBuf

你在用Netgear網件的路由器嗎?最近需要格外小心了。

CERT/CC(美國計算機緊急事件響應小組協調中心)上周五發出安全公告,建議用戶暫停使用這Netgear R7000和R6400兩款路由器——緣於其高危漏洞。Netgear方面已經確認,受到影響的不止這兩個型號。

12.14 Update:網件推臨時beta固件

Netgear今天給FreeBuf發來一份有關漏洞的說明,一方面明確了漏洞(#582384 命令注入安全漏洞)的存在性,並且提到:

美國網件正在研發一個固件,這個固件用來修復命令注入的漏洞,並會儘快發布。在推出這個固件的同時,我們會提供一個測試固件。測試固件尚未測試完成,可能並不適用於所有用戶。

測試固件針對以上多個型號的產品是可用的,針對剩餘型號的測試固件還在開發中,最早在12月15日發布。美國網件正在審查其他可能存在漏洞的型號,如果其他路由器有同樣的安全問題,我們也將發布修復固件。

實際上,我們今天也從Netgear官網看到,網件更新了針對這波漏洞的安全公告,並且再度更新了受到漏洞影響的設備型號,也就是說漏洞影響範圍進一步擴大,具體包括下面這些:

R6250/R6400/R6700/R6900/R7000/R7100LG/R7300/R7900/R8000/D6220/D7000

網件已經針對其中的 R6250 | R6400 | R6700 | R7000 |R8000 推出了如上所述的beta版固件,用以臨時修復該命令注入安全漏洞。正在使用這幾款路由器產品的用戶,可點擊相應連結從網件官網下載此固件。

不過仍需提醒,如網件所說,這是beta測試版,所以可能會存在BUG。

除此之外,網件表示仍在持續對整個產品線做進一步核查,確認是否還有其他型號的路由器受此漏洞影響。FreeBuf也將持續針對此漏洞的影響和修復進度做追蹤。

12.13 Update:網件確認漏洞存在

Netgear方面已經確認了漏洞的存在性,且在其安全公告中表示R7000/R6400/R8000的確存在漏洞。不過這兩天,一名安全研究人員進行了測試 。

他在測試報告中提到Netgear的Nighthawk產品線還有其他產品也存在問題,包括了R7000、R7000P、R7500、R7800、R8500、R9000。

如果要檢查自己的Netgear路由器是否受到影響,可在本地網絡中用瀏覽器訪問:

http://[router_ip_address]/cgi-bin/;uname$IFS-a

如果瀏覽器返回了任何信息,而非顯示錯誤或者沒有顯示空白頁,就表明路由器可能也存在漏洞。在不需要認證的情況下,攻擊者就能對路由器發起CSRF攻擊——即便路由器並沒有將管理接口暴露在網際網路上也是完全可行的。

攻擊者惡意構造網頁後,劫持用戶瀏覽器並通過瀏覽器發出未授權請求。也就是惡意站點迫使用戶瀏覽器通過LAN來利用路由器漏洞。

實際上這個漏洞是web接口未能過濾URL中的潛在惡意命令所致。

影響範圍:

Netgear R7000路由器,固件版本為1.0.7.2_1.1.93(可能包括更早版本);

Netgear R6400路由器,固件版本為1.0.1.6_1.0.4(可能包括更早版本);

Netgear R8000路由器,固件版本1.0.3.4_1.1.2也受影響;可能還有其他型號受到影響。

(更新)網件確認存在此漏洞的路由器型號包括:R6250/R6400/R6700/R6900/R7000/R7100LG/R7300/R7900/R8000/D6220/D7000

漏洞概述:

採用以上版本固件的相應路由器存在任意命令注入漏洞。被攻擊者點擊惡意構造的網站後,遠程未授權攻擊者就能以Root權限執行任意命令;區域網內的攻擊者則可通過直接發出請求達成類似攻擊效果,如訪問:

http://<router_IP>/cgi-bin/;COMMAND

有關該漏洞的PoC詳情參見:https://www.exploit-db.com/exploits/40889/

解決方案:

目前尚無完善的解決方案,需要等待Netgear發布補丁。不過有一些緩解措施可以執行:

1.禁用web服務

http://<router_IP>/cgi-bin/;killall$IFS'httpd'

在執行這一步之後,除非重啟,否則路由器的web管理操作就不可用了。

2.暫停使用

CERT還是強烈建議用戶暫時不要再使用受影響的路由器,等待官方的修復補丁。

作為IoT的一部分,路由器也和CCTV、DVR等設備一樣,會被攻擊者利用、令其感染惡意程序,最終成為殭屍網絡的一部分。

最近名為BestBuy的黑客宣稱,已經控制了320萬臺家用路由器,而且還將為這些路由器推送惡意固件更新。據說即便重啟這些路由器也沒用,殭屍網絡大軍依舊存在。

前一陣德國電信遭遇黑客攻擊,90萬臺路由器下線也依舊餘波未停。IoT的發展究竟是時代的進步,還是時代的悲哀?

* 參考來源:CERT,歐陽洋蔥編譯,轉載請註明來自FreeBuf.COM


相關焦點

  • Netgear遠程任意命令注入漏洞,官方臨時解決方案
    12.14 Update:網件推臨時beta固件Netgear今天給FreeBuf發來一份有關漏洞的說明,一方面明確了漏洞(#582384 命令注入安全漏洞)的存在性,並且提到:美國網件正在研發一個固件,這個固件用來修復命令注入的漏洞,並會儘快發布。在推出這個固件的同時,我們會提供一個測試固件。測試固件尚未測試完成,可能並不適用於所有用戶。
  • Netgear R7000/R6400等路由器曝遠程任意命令注入漏洞,CERT建議全面暫停使用
    最近需要格外小心了,尤其是路由器型號為R7000和R6400的用戶——Netgear其他型號的用戶也需要當心。CERT/CC(美國計算機緊急事件響應小組協調中心)上周五發出安全公告,建議用戶暫停使用這兩款路由器——因為這兩款路由器包含高危漏洞。Netgear其他型號的路由器可能也受到影響,只是CERT暫未披露。
  • D-Link(友訊)路由器曝遠程文件上傳及命令注入漏洞(已發布安全更新)
    微信號:freebufD-Link路由器的安全問題還真多,前段時間剛剛爆出家用路由器存在遠程命令注入漏洞
  • 阿里聚安全一周一訊 大規模數據洩露頻發,企業和用戶如何防範、Netgear多個型號路由器曝高危漏洞
    本文為大家總結一些熱門網站,大家可以在此訪問隱私數據、憑證以及購買攻擊工具,甚至有些工具還可以免費下載。多款廉價Android手機再曝固件後門,聯想手機也在其列來自俄羅斯殺軟廠商Dr.Web(大蜘蛛)的研究人員發現了暗藏漏洞的現象。
  • 【漏洞通告】D-Link VPN路由器多個命令注入漏洞
    ID類  型漏洞等級遠程利用D-Link VPN路由器CVE-2020-25757命令注入高危是CVE-2020-25758crontab注入高危是CVE-2020-25759命令注入高危可以訪問「 Unified Services Router」 Web界面的攻擊者可以利用這些漏洞發起惡意請求來注入命令,或添加Cron任務來執行任意命令,這些惡意命令將以root權限執行,最終可以控制整個設備。
  • ACSC發布CMS系統安全指南;Netgear修復其路由器產品中的多個漏洞
    攻擊者可以使用自動化工具掃描Internet上的安全漏洞。一旦CMS被入侵,攻擊者可以利用其權限來:獲得Web應用程式的驗證區域和特權區域的訪問權限;上傳惡意軟體來獲得遠程訪問,例如上傳Web Shell或RAT;在合法網頁上注入惡意內容。攻擊者還可以將受感染的Web伺服器用作「水坑」攻擊的一部分,或用作C&C的基礎設施。
  • 大量Netgear路由器存在密碼繞過漏洞,來看你家路由器是否中槍
    新年之際,Netgear路由器又遭遇一起嚴重安全漏洞,影響範圍包括數十種路由器型號。這個漏洞是Trustwave蜘蛛實驗室的研究專家Simon Kenin發現的,因為Netgear路由器的密碼恢復流程存在缺陷,入侵者可以利用這個漏洞遠程獲取Netgear路由器的管理員密碼。
  • Netgear路由器曝出嚴重漏洞,影響79種不同型號設備
    Netgear路由器的嚴重的棧緩存溢出遠程代碼執行漏洞,漏洞CVSS 評分為8.8分,漏洞影響79種不同型號的Netgear路由器的758種固件版本,受影響的固件中最早的版本是2007年發布的。漏洞細節漏洞存在於路由器固件的httpd服務中,httpd服務默認監聽TCP 80埠。
  • D-Link 老款路由器被曝多個高危漏洞,未完全修復
    D-Link 稱,在 DIR-865L無線路由器中發現一個嚴重的命令注入漏洞,可導致用戶易受拒絕服務攻擊,並督促用戶停止使用該產品。DIR-865L 型號的路由器於2013年首次推出,在2016年2月生命周期完成。
  • 復現影響79款Netgear路由器高危漏洞
    VNPT 的研究人員d4rkn3ss分析報告了一個影響Netgear路由器的嚴重的棧緩存溢出遠程代碼執行漏洞,漏洞CVSS 評分為8.8分,漏洞影響79種不同型號的Netgear路由器的758種固件版本,受影響的固件中最早的版本是2007年發布的。
  • D-Link 修復VPN路由器中的多個遠程命令注入漏洞,還有一個未修復
    編譯:奇安信代碼衛士團隊D-Link VPN路由器固件中存在一個漏洞,可導致攻擊者完全控制設備,影響的路由器型號為運行3.17 或更低版本的 DSR-150、DSR-250/N、DSR-500 和 DSR-1000AC。
  • D-Link-Dir-850L遠程命令執行漏洞
    ,其中有一名選手實現了遠程任意代碼執行。0x01 獲取源碼D-Link Dir-850L 路由器的固件可以從官方下載獲取,這裡下載1.14.B07版本的固件,地址: ftp://ftp2.dlink.com/PRODUCTS/DIR-850L/REVA/DIR-850L_REVA_FIRMWARE_1.14.B07_WW.ZIP。
  • Netgear 網件31款路由器被曝嚴重漏洞,可被遠程控制
    但近日據外媒報導,Netgear 的31款路由器產品中存在嚴重漏洞,攻擊者利用該漏洞可遠程獲得設備的完全控制權。其後,他發現該問題廣泛存在於的 Netgear 的 31款不同型號的路由器中,其中許多型號路由器具有有遠程管理功能,使得攻擊者可以利用該漏洞遠程控制路由器。攻擊者不僅能隨意更改路由器密碼、設置,還可以上傳惡意軟體,甚至讓設備淪為殭屍網絡的一部分,用於攻擊其他網絡設備。
  • 家用路由器的安全進化史
    華碩旗下RT-AC66U、RT-N66U等多款路由器中使用的ASUS WRT的infosvr中的common.c文件中存在安全漏洞,該漏洞源於程序沒有正確檢查請求的MAC地址。遠程攻擊者可通過向UDP 9999埠發送NET_CMD_ID_MANU_CMD數據包利用該漏洞繞過身份驗證,執行任意命令。
  • Huawei HG532 系列路由器遠程命令執行漏洞分析
    2017/11/27,Check Point 軟體技術部門報告了一個華為 HG532 產品的遠程命令執行漏洞(CVE-2017-17215) [1] https://research.checkpoint.com/good-zero-day-skiddie/。該漏洞在被報告前,網際網路上產生了大量未被關注的此類漏洞攻擊利用包,遍及全球多個國家。
  • 漏洞預警:D-Link(友訊)路由器存在遠程命令注入漏洞
    微信號:freebuf近日安全研究員在D-Link(友訊)路由器上發現了一個嚴重的安全漏洞
  • D-Link 路由器信息洩露和遠程命令執行漏洞分析及全球數據分析報告
    2017年8月8號,SecuriTeam在博客公布了D-Link 850L多個漏洞的漏洞細節和PoC[2],其中包括通過WAN和LAN的遠程代碼執行、通過WAN和LAN口的未授權信息洩露、通過LAN的root遠程命令執行。2017年8月9日,Seebug收錄了該廠商旗下D-Link DIR-850L雲路由器的多個漏洞[3]。
  • Netgear無線路由器密碼洩漏漏洞數據分析報告
    NETGEAR(美國網件)是為中小規模企業用戶與 SOHO 用戶提供簡便易用、功能全面的網絡綜合解決方案提供商。
  • Netgear固件分析與後門植入
    某些版本的無線路由器固件的詳細格式,以及如何在固件中放置後門並進行重打包的操作,並且在最後逆向分析了官方的打包工具。netgeanetgear意譯成中文為網件,該公司長期致力於為中小規模企業用戶與 SOHO 用戶提供簡便易用並具有強大功能的網絡綜合解決方案。總部設在美國加州矽谷聖克拉拉市,業務遍及世界多個國家和地區。今天要分析的就是netgear的家用無線路由器產品。
  • 【漏洞更新】SaltStack 多個高危漏洞(含漏洞分析及深信服解決方案)
    存在多個漏洞,利用組合公布的漏洞,可以達到未授權遠程代碼執行。近日,深信服安全團隊監測到SaltStack官方發布安全更新修復了三個高危漏洞,其中包括SaltStack未授權訪問漏洞(CVE-2021-25281)、SaltStack任意文件寫漏洞(CVE-2021-25282)、SaltStack服務端模板注入漏洞(CVE-2021-25283)。通過組合這三個漏洞,可以導致遠程代碼執行。