Netgear vydal aktualizace firmwaru pro několik svých zařízení. Záplaty řeší řadu bezpečnostních chyb odhalených experty z Immersive Labs. Zjištěné nedostatky mohly vést k neoprávněnému přístupu k zařízení nebo k modifikaci vnitřního souborového systému zneužitelné k ovlivnění provozu procházejícího zařízením.
Odborníci objevili například dva bezpečnostní nedostatky, evidované jako PSV-2021-0169 a PSV-2021-0172, které se týkají řady routerů Netgear určených pro malé firmy. První zranitelnost je hodnocena jako vysoce závažná a na desetibodové stupnici má hodnocení 7,8. Druhá má známku 6,2 a je prezentována jako středně vážná.
Chyby v routerech Netgear
První chyba dovoluje uživateli s ověřeným přístupem k postiženému zařízení měnit nastavení v panelu správy a spouštět na směrovači libovolné příkazy. Zranitelnost může přetrvávat, i když je směrovač restartován nebo aktualizován.
„V těchto dvou zranitelnostech používáme webový server pouze ke změně konfiguračních hodnot, jež jsou následně uloženy do zařízení. Jakmile jsou tyto položky uloženy, při každém spuštění zařízení sada skriptů bash nebo jiných vlastních spustitelných souborů v zařízení přečte tyto proměnné z konfigurace a použije je ke spuštění příkazů,“ uvádějí experti z Immersive Labs.
Tyto příkazy mohou být použity k otevření dalších portů nebo k umožnění přístupu k operačnímu systému po síti přes příkazový řádek. Při přístupu k systému by mohl uživatel se zlými úmysly významně ovlivnit dostupnost zařízení a data, která jím procházejí.
Netgear vydal opravu
Nutno konstatovat, že vydání záplat se poněkud protáhlo. Bezpečnostní chyby byly odhaleny v květnu a v červnu. Netgear 2. července požádal o 120denní lhůtu, která měla vypršet 30. října. 14. října Netgear požádal o prodloužení lhůty a až 30. listopadu vydal záplaty.
Podle poznámek k opravám byly/jsou postiženy následující modely routerů a Wi-Fi extenderů:
- Netgear D7800 opraveno ve firmwaru verze 1.0.1.66
- Netgear EX2700 opraveno ve firmwaru verze 1.0.1.68
- Netgear LBR1020 opraveno ve firmwaru verze 2.6.5.20
- Netgear LBR20 opraveno ve firmwaru verze 2.6.5.32
- Netgear R6700AX opraveno ve firmwaru verze 1.0.10.110
- Netgear R7800 opraveno ve firmwaru verze 1.0.2.86
- Netgear R8900 opraveno ve firmwaru verze 1.0.5.38
- Netgear R9000 opraveno ve firmwaru verze 1.0.5.38
- Netgear RAX10 opraveno ve firmwaru verze 1.0.10.110
- Netgear RAX120v1 opraveno ve firmwaru verze 1.2.3.28
- Netgear RAX120v2 opraveno ve firmwaru verze 1.2.3.28
- Netgear RAX70 opraveno ve firmwaru verze 1.0.10.110
- Netgear RAX78 opraveno ve firmwaru verze 1.0.10.110
- Netgear WN3000RPv2 opraveno ve firmwaru verze 1.0.0.90
- Netgear WN3000RPv3 opraveno ve firmwaru verze 1.0.2.100
- Netgear XR450 opraveno ve firmwaru verze 2.3.2.130
- Netgear XR500 opraveno ve firmwaru verze 2.3.2.130
- Netgear XR700 opraveno ve firmwaru verze 1.0.1.46
Pokud vlastníte některé z výše uvedených zařízení, zkontrolujte v jeho nastavení, zda máte nainstalovanou poslední dostupnou verzi firmwaru. Není-li tomu tak, pak důrazně doporučujeme provést aktualizaci.
