爆出RCE漏洞的NETGEAR路由器 有45款舊機型將不推出修補更新

Netgear上周表示不會修補2個月前公佈有高風險遠端程式碼執行(remote code execution, RCE)漏洞影響的45款產品,理由是超出該公司的安全支援期間,包括推出才3年的產品。

Netgear上周表示不會修補2個月前公佈有高風險遠端程式碼執行(remote code execution, RCE)漏洞影響的45款產品,理由是超出該公司的安全支援期間,包括推出才3年的產品。

什麼漏洞這麼危險?

這個RCE漏洞於6月15日被Grimm研究人員Adam Nichols及趨勢科技的ZDI實驗室公佈,可讓鄰近網路的攻擊者繞過Netgear產品的驗證,即不需驗證即可執行任意程式碼。這項漏洞影響Netgear 79款Wi-Fi路由器及網路閘道。這79款產品型號已列於Netgear網站。

據首先揭露該漏洞的ZDI指出,這項漏洞位於httpd服務內,後者預設聽取TCP port 80,但未驗證用戶傳入資料的長度就將它複製到固定長度的堆積(stack)記憶體緩衝區,造成緩衝區溢位,而得以根權限執行任意程式碼,最嚴重可造成駭客取得裝置的完整控制權。

基於漏洞的特性,(在沒有修補情況下)唯一的緩解方法是僅限受信任的機器才可以和port 80互動,這又有許多方法可行,但最常見是設定防火牆白名單。

研究人員於今年1月8日通報Netgear,6月15日在尚未有修補程式情況下發出安全公告。研究人員還釋出了概念驗證(PoC)攻擊程式。

已修補了34款,還剩45款不打算修補

Netgear已對其中34款發出修補程式,包括安全hotfix,該公司說hotfix可快速更新現有產品、簡化韌體驗證流程,無需經過完整的回歸測試。

但Netgear表示其中45項已經「超出安全支援」期間,因此不會修補。有些型號如AC1450系列在2009年就推出了,已經超過10年。但另一些連通路都還有賣,也未停產,例如R6200及R6200v2,分別在2013年與2016年超過支援期限(EOL),現在客戶都還買得到。另外2017年上半年停止支援的Nighthawk R7300DST也不在修補範圍內。

安全專家批評Netgear的修補政策及程序,尤其該漏洞屬於最危險的RCE漏洞。但是nVisium公司安全顧問Zach Varnell說,這就是產品生命周期的現實,任何產品都有其支援期限,其中軟體又比硬體支援期更短,因為軟體更新更頻繁。但他也說,Netgear的例子中,安全研究人員對這公司已經太仁慈了,給了他超過90天的封口期讓它修補漏洞。

ZDI研究室安全總監Brian Gorenc指出,有太多使用率高的產品已經成為支援孤兒的例子,在萬物聯網的今天,也許現在企業應該鼓勵那些提供較長支援期間的廠商。

過去一年來,已經傳出多起路由器爆漏洞。今年三月Netgear也警告用戶Wireless AC Router Nighthawk R7800韌體有RCE漏洞。七月間華碩數款路由器產品也出現可讓駭客竊聽流量和重要資訊。

來源:Threat Post

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416