爆出 RCE 漏洞的 NETGEAR 路由器 有 45 款舊機型將不推出修補更新
Netgear 上周表示不會修補 2 個月前公佈有高風險遠端程式碼執行 (remote code execution, RCE) 漏洞影響的 45 款產品,理由是超出該公司的安全支援期間,包括推出才 3 年的產品。
什麼漏洞這麼危險?
這個 RCE 漏洞於 6 月 15 日被 Grimm 研究人員 Adam Nichols 及趨勢科技的 ZDI 實驗室公佈,可讓鄰近網路的攻擊者繞過 Netgear 產品的驗證,即不需驗證即可執行任意程式碼。這項漏洞影響 Netgear 79 款 Wi-Fi 路由器及網路閘道。這 79 款產品型號已列於 Netgear 網站。
據首先揭露該漏洞的 ZDI 指出,這項漏洞位於 httpd 服務內,後者預設聽取 TCP port 80,但未驗證用戶傳入資料的長度就將它複製到固定長度的堆積 (stack) 記憶體緩衝區,造成緩衝區溢位,而得以根權限執行任意程式碼,最嚴重可造成駭客取得裝置的完整控制權。
基於漏洞的特性,(在沒有修補情況下)唯一的緩解方法是僅限受信任的機器才可以和 port 80 互動,這又有許多方法可行,但最常見是設定防火牆白名單。
研究人員於今年 1 月 8 日通報 Netgear,6 月 15 日在尚未有修補程式情況下發出安全公告。研究人員還釋出了概念驗證 (PoC) 攻擊程式。
已修補了 34 款,還剩 45 款不打算修補
Netgear 已對其中 34 款發出修補程式,包括安全 hotfix,該公司說 hotfix 可快速更新現有產品、簡化韌體驗證流程,無需經過完整的回歸測試。
但 Netgear 表示其中 45 項已經「超出安全支援」期間,因此不會修補。有些型號如 AC1450 系列在 2009 年就推出了,已經超過 10 年。但另一些連通路都還有賣,也未停產,例如 R6200 及 R6200v2,分別在 2013 年與 2016 年超過支援期限 (EOL),現在客戶都還買得到。另外 2017 年上半年停止支援的 Nighthawk R7300DST 也不在修補範圍內。
安全專家批評 Netgear 的修補政策及程序,尤其該漏洞屬於最危險的 RCE 漏洞。但是 nVisium 公司安全顧問 Zach Varnell 說,這就是產品生命周期的現實,任何產品都有其支援期限,其中軟體又比硬體支援期更短,因為軟體更新更頻繁。但他也說,Netgear 的例子中,安全研究人員對這公司已經太仁慈了,給了他超過 90 天的封口期讓它修補漏洞。
ZDI 研究室安全總監 Brian Gorenc 指出,有太多使用率高的產品已經成為支援孤兒的例子,在萬物聯網的今天,也許現在企業應該鼓勵那些提供較長支援期間的廠商。
過去一年來,已經傳出多起路由器爆漏洞。今年三月 Netgear 也警告用戶 Wireless AC Router Nighthawk R7800 韌體有 RCE 漏洞。七月間華碩數款路由器產品也出現可讓駭客竊聽流量和重要資訊。
來源:Threat Post