爆出RCE漏洞的NETGEAR路由器 有45款舊機型將不推出修補更新
Netgear上周表示不會修補2個月前公佈有高風險遠端程式碼執行(remote code execution, RCE)漏洞影響的45款產品,理由是超出該公司的安全支援期間,包括推出才3年的產品。
什麼漏洞這麼危險?
這個RCE漏洞於6月15日被Grimm研究人員Adam Nichols及趨勢科技的ZDI實驗室公佈,可讓鄰近網路的攻擊者繞過Netgear產品的驗證,即不需驗證即可執行任意程式碼。這項漏洞影響Netgear 79款Wi-Fi路由器及網路閘道。這79款產品型號已列於Netgear網站。
據首先揭露該漏洞的ZDI指出,這項漏洞位於httpd服務內,後者預設聽取TCP port 80,但未驗證用戶傳入資料的長度就將它複製到固定長度的堆積(stack)記憶體緩衝區,造成緩衝區溢位,而得以根權限執行任意程式碼,最嚴重可造成駭客取得裝置的完整控制權。
基於漏洞的特性,(在沒有修補情況下)唯一的緩解方法是僅限受信任的機器才可以和port 80互動,這又有許多方法可行,但最常見是設定防火牆白名單。
研究人員於今年1月8日通報Netgear,6月15日在尚未有修補程式情況下發出安全公告。研究人員還釋出了概念驗證(PoC)攻擊程式。
已修補了34款,還剩45款不打算修補
Netgear已對其中34款發出修補程式,包括安全hotfix,該公司說hotfix可快速更新現有產品、簡化韌體驗證流程,無需經過完整的回歸測試。
但Netgear表示其中45項已經「超出安全支援」期間,因此不會修補。有些型號如AC1450系列在2009年就推出了,已經超過10年。但另一些連通路都還有賣,也未停產,例如R6200及R6200v2,分別在2013年與2016年超過支援期限(EOL),現在客戶都還買得到。另外2017年上半年停止支援的Nighthawk R7300DST也不在修補範圍內。
安全專家批評Netgear的修補政策及程序,尤其該漏洞屬於最危險的RCE漏洞。但是nVisium公司安全顧問Zach Varnell說,這就是產品生命周期的現實,任何產品都有其支援期限,其中軟體又比硬體支援期更短,因為軟體更新更頻繁。但他也說,Netgear的例子中,安全研究人員對這公司已經太仁慈了,給了他超過90天的封口期讓它修補漏洞。
ZDI研究室安全總監Brian Gorenc指出,有太多使用率高的產品已經成為支援孤兒的例子,在萬物聯網的今天,也許現在企業應該鼓勵那些提供較長支援期間的廠商。
過去一年來,已經傳出多起路由器爆漏洞。今年三月Netgear也警告用戶Wireless AC Router Nighthawk R7800韌體有RCE漏洞。七月間華碩數款路由器產品也出現可讓駭客竊聽流量和重要資訊。
來源:Threat Post