Tenable ha scoperto una vulnerabilità in un nuovo router NETGEAR. Il popolare router WiFi 6 è noto per la sua ampia copertura ed è utilizzato anche dalle microimprese. Il router è raggiungibile dall'esterno con un vecchio firmware tramite IPv6.
Il team di ricerca ZeroDay di Tenable ha riscontrato un'errata configurazione di rete nel router NETGEAR Nighthawk WiFi6 (RAX30 AX2400) funzionante con firmware fino alla v1.0.7.78. Il nuovo aggiornamento con firmware V1.0.9.90 risolve il problema di sicurezza.
Possibile attacco esterno tramite IPv6
Il bug ha inavvertitamente consentito la comunicazione illimitata con tutti i servizi in ascolto su IPv6 sulla porta WAN (internet-facing) del dispositivo. Questa errata configurazione consente l'accesso arbitrario a qualsiasi servizio in esecuzione sul dispositivo e potrebbe potenzialmente consentire agli aggressori di comunicare con questi dispositivi da Internet come se si trovassero sulla rete locale del consumatore.
NETGEAR ha rilasciato una patch sulla sua funzione di aggiornamento automatico. Tuttavia, se il router funziona ancora con il firmware V1.0.6.74, la funzione di aggiornamento automatico del dispositivo sembra non riconoscere la disponibilità di aggiornamenti successivi alla V1.0.6.74. Quei consumatori che si affidano all'aggiornamento automatico di questi dispositivi o ai meccanismi di "verifica degli aggiornamenti" rimangono vulnerabili a questo problema, a meno che non applichino manualmente la nuova patch.
Altro su Tenable.com
A proposito di Tenable Tenable è una società di esposizione informatica. Oltre 24.000 aziende in tutto il mondo si affidano a Tenable per comprendere e ridurre il rischio informatico. Gli inventori di Nessus hanno unito la loro esperienza in materia di vulnerabilità in Tenable.io, offrendo la prima piattaforma del settore che fornisce visibilità in tempo reale e protegge qualsiasi risorsa su qualsiasi piattaforma informatica. La base di clienti di Tenable comprende il 53% di Fortune 500, il 29% di Global 2000 e grandi agenzie governative.