Уразливості в маршрутизаторах Netgear Nighthawk RAX30

Поєднання п’яти вразливостей у маршрутизаторах Netgear Nighthawk RAX30 дозволяє зловмисникам відстежувати та маніпулювати Інтернет-трафіком і захоплювати підключені інтелектуальні пристрої.

Дослідники безпеки з Team82, дослідницького відділу спеціаліста з безпеки кіберфізичних систем (CPS) Claroty, виявили п’ять уразливостей у широко використовуваному маршрутизаторі Netgear Nighthawk RAX2 в рамках конкурсу Pwn30Own.

Набір вразливостей відкриває двері

Успішне використання цього набору вразливостей дозволяє зловмисникам відстежувати діяльність користувачів в Інтернеті, перехоплювати підключення до Інтернету та перенаправляти трафік на шкідливі веб-сайти або впроваджувати шкідливі програми в мережевий трафік. Крім того, кіберзлочинці можуть отримувати доступ і контролювати підключені інтелектуальні пристрої, такі як камери безпеки, термостати або розумні замки, змінювати налаштування маршрутизатора, включаючи облікові дані для входу чи налаштування DNS, або використовувати скомпрометовану мережу для здійснення атак на інші пристрої чи мережі. Компанія Netgear виправила всі вразливості та наполегливо рекомендує користувачам оновити маршрутизатори RAX30.

Доступні патчі Netgear

Дослідники безпеки Team82 виявили вразливість переповнення буфера на основі стека в рамках змагання хакерів. Ці типи вразливостей зазвичай легко використати за відсутності захисту стека. Однак компанія Netgear скомпілювала всі двійкові файли в маршрутизаторі RAX30 за допомогою стекових канарок, що значно ускладнило експлуатацію. Стекові канарки – це широко використовуваний механізм безпеки, який допомагає захистити від атак переповнення буфера.

Це поміщає невелике значення в стек (так звану канарку), яке перевіряється на наявність змін перед поверненням функції. Якщо на канарку втрутилися, програма припиняє роботу, щоб запобігти подальшим атакам. В принципі, цей захисний механізм можна обійти трьома способами: шляхом виявлення іншої вразливості, через яку може витікати канарка, за допомогою грубої сили (що можливо лише в певних випадках) і за допомогою «логічного» обхідного шляху, який генерує переповнення, перш ніж канарка перевіряється. Хоча останнє часто описують як обхід, на практиці є лише кілька прикладів, коли цей прийом успішно використовувався.

 

Команда Team82 знайшла серію з п’яти вразливостей, які логічно обходили канарку стека, дозволяючи здійснити атаку:

• 1. CVE-2023-27357 (Конфіденційна інформація, розкрита без автентифікації) використовується для визначення серійного номера пристрою.
• 2. CVE-2023-27369 (переповнення стека читання SSL) дозволяє зловмисникам надсилати необмежену кількість корисних даних HTTP.
• 3. Використовуйте CVE-2023-27368 (переповнення стеку sscanf), щоб записати корисне навантаження, достатнє для перезапису IP-адреси сокета, обходу автентифікації та читання конфігурації пристрою.
• 4. CVE-2023-27370 (секрети звичайного тексту в конфігурації) використовується для отримання запитань безпеки та відповідей на звичайний текст. Пароль адміністратора можна змінити разом із серійним номером (крок 1).
• 5. Після зміни пароля можна надіслати «магічний пакет» для активації обмеженого сервера Telnet на пристрої.
• 6. Нарешті, CVE-2023-27367 (Restricted shell escape) надає зловмисникам віддалене виконання коду з root-доступом на пристрої.

Зв’язавши п’ять CVE, уражені маршрутизатори RAX30 можуть бути скомпрометовані. Найбільш серйозною вразливістю є віддалене виконання коду перед автентифікацією на пристрої.

Більше на Sophos.com

 

---

Про Клароті

Claroty, компанія промислової кібербезпеки, допомагає своїм глобальним клієнтам виявляти, захищати та керувати своїми активами OT, IoT та IIoT. Комплексна платформа компанії бездоганно інтегрується з існуючою інфраструктурою та процесами клієнтів і пропонує широкий спектр засобів контролю промислової кібербезпеки для прозорості, виявлення загроз, управління ризиками та вразливістю та безпечного віддаленого доступу – зі значно зниженою загальною вартістю володіння.

---

 

Статті по темі