爆出 RCE 漏洞的 NETGEAR 路由器 有 45 款舊機型將不推出修補更新

Netgear 上周表示不會修補 2 個月前公佈有高風險遠端程式碼執行 (remote code execution, RCE) 漏洞影響的 45 款產品，理由是超出該公司的安全支援期間，包括推出才 3 年的產品。

什麼漏洞這麼危險？

這個 RCE 漏洞於 6 月 15 日被 Grimm 研究人員 Adam Nichols 及趨勢科技的 ZDI 實驗室公佈，可讓鄰近網路的攻擊者繞過 Netgear 產品的驗證，即不需驗證即可執行任意程式碼。這項漏洞影響 Netgear 79 款 Wi-Fi 路由器及網路閘道。這 79 款產品型號已列於 Netgear 網站。

據首先揭露該漏洞的 ZDI 指出，這項漏洞位於 httpd 服務內，後者預設聽取 TCP port 80，但未驗證用戶傳入資料的長度就將它複製到固定長度的堆積 (stack) 記憶體緩衝區，造成緩衝區溢位，而得以根權限執行任意程式碼，最嚴重可造成駭客取得裝置的完整控制權。

基於漏洞的特性，（在沒有修補情況下）唯一的緩解方法是僅限受信任的機器才可以和 port 80 互動，這又有許多方法可行，但最常見是設定防火牆白名單。

研究人員於今年 1 月 8 日通報 Netgear，6 月 15 日在尚未有修補程式情況下發出安全公告。研究人員還釋出了概念驗證 (PoC) 攻擊程式。

已修補了 34 款，還剩 45 款不打算修補

Netgear 已對其中 34 款發出修補程式，包括安全 hotfix，該公司說 hotfix 可快速更新現有產品、簡化韌體驗證流程，無需經過完整的回歸測試。

但 Netgear 表示其中 45 項已經「超出安全支援」期間，因此不會修補。有些型號如 AC1450 系列在 2009 年就推出了，已經超過 10 年。但另一些連通路都還有賣，也未停產，例如 R6200 及 R6200v2，分別在 2013 年與 2016 年超過支援期限 (EOL)，現在客戶都還買得到。另外 2017 年上半年停止支援的 Nighthawk R7300DST 也不在修補範圍內。

安全專家批評 Netgear 的修補政策及程序，尤其該漏洞屬於最危險的 RCE 漏洞。但是 nVisium 公司安全顧問 Zach Varnell 說，這就是產品生命周期的現實，任何產品都有其支援期限，其中軟體又比硬體支援期更短，因為軟體更新更頻繁。但他也說，Netgear 的例子中，安全研究人員對這公司已經太仁慈了，給了他超過 90 天的封口期讓它修補漏洞。

ZDI 研究室安全總監 Brian Gorenc 指出，有太多使用率高的產品已經成為支援孤兒的例子，在萬物聯網的今天，也許現在企業應該鼓勵那些提供較長支援期間的廠商。

過去一年來，已經傳出多起路由器爆漏洞。今年三月 Netgear 也警告用戶 Wireless AC Router Nighthawk R7800 韌體有 RCE 漏洞。七月間華碩數款路由器產品也出現可讓駭客竊聽流量和重要資訊。

來源：Threat Post