爆出RCE漏洞的NETGEAR路由器 有45款舊機型將不推出修補更新

Netgear上周表示不會修補2個月前公佈有高風險遠端程式碼執行(remote code execution, RCE)漏洞影響的45款產品，理由是超出該公司的安全支援期間，包括推出才3年的產品。

什麼漏洞這麼危險？

這個RCE漏洞於6月15日被Grimm研究人員Adam Nichols及趨勢科技的ZDI實驗室公佈，可讓鄰近網路的攻擊者繞過Netgear產品的驗證，即不需驗證即可執行任意程式碼。這項漏洞影響Netgear 79款Wi-Fi路由器及網路閘道。這79款產品型號已列於Netgear網站。

據首先揭露該漏洞的ZDI指出，這項漏洞位於httpd服務內，後者預設聽取TCP port 80，但未驗證用戶傳入資料的長度就將它複製到固定長度的堆積(stack)記憶體緩衝區，造成緩衝區溢位，而得以根權限執行任意程式碼，最嚴重可造成駭客取得裝置的完整控制權。

基於漏洞的特性，（在沒有修補情況下）唯一的緩解方法是僅限受信任的機器才可以和port 80互動，這又有許多方法可行，但最常見是設定防火牆白名單。

研究人員於今年1月8日通報Netgear，6月15日在尚未有修補程式情況下發出安全公告。研究人員還釋出了概念驗證(PoC)攻擊程式。

已修補了34款，還剩45款不打算修補

Netgear已對其中34款發出修補程式，包括安全hotfix，該公司說hotfix可快速更新現有產品、簡化韌體驗證流程，無需經過完整的回歸測試。

但Netgear表示其中45項已經「超出安全支援」期間，因此不會修補。有些型號如AC1450系列在2009年就推出了，已經超過10年。但另一些連通路都還有賣，也未停產，例如R6200及R6200v2，分別在2013年與2016年超過支援期限(EOL)，現在客戶都還買得到。另外2017年上半年停止支援的Nighthawk R7300DST也不在修補範圍內。

安全專家批評Netgear的修補政策及程序，尤其該漏洞屬於最危險的RCE漏洞。但是nVisium公司安全顧問Zach Varnell說，這就是產品生命周期的現實，任何產品都有其支援期限，其中軟體又比硬體支援期更短，因為軟體更新更頻繁。但他也說，Netgear的例子中，安全研究人員對這公司已經太仁慈了，給了他超過90天的封口期讓它修補漏洞。

ZDI研究室安全總監Brian Gorenc指出，有太多使用率高的產品已經成為支援孤兒的例子，在萬物聯網的今天，也許現在企業應該鼓勵那些提供較長支援期間的廠商。

過去一年來，已經傳出多起路由器爆漏洞。今年三月Netgear也警告用戶Wireless AC Router Nighthawk R7800韌體有RCE漏洞。七月間華碩數款路由器產品也出現可讓駭客竊聽流量和重要資訊。

來源：Threat Post