你在用Netgear网件的路由器吗?CERT/CC(美国计算机紧急事件响应小组协调中心)上周五发出安全公告,建议用户暂停使用这Netgear R7000和R6400两款路由器——缘于其高危漏洞。Netgear方面则已经确认了漏洞影响范围,并给出了临时解决方案。
12.14 Update:网件推临时beta固件
Netgear今天给FreeBuf发来一份有关漏洞的说明,一方面明确了漏洞(#582384 命令注入安全漏洞)的存在性,并且提到:
美国网件正在研发一个固件,这个固件用来修复命令注入的漏洞,并会尽快发布。在推出这个固件的同时,我们会提供一个测试固件。测试固件尚未测试完成,可能并不适用于所有用户。
测试固件针对以上多个型号的产品是可用的,针对剩余型号的测试固件还在开发中,最早在12月15日发布。美国网件正在审查其他可能存在漏洞的型号,如果其他路由器有同样的安全问题,我们也将发布修复固件。
实际上,我们今天也从Netgear官网看到,网件更新了针对这波漏洞的安全公告,并且再度更新了受到漏洞影响的设备型号,也就是说漏洞影响范围进一步扩大,具体包括下面这些:
R6250/R6400/R6700/R6900/R7000/R7100LG/R7300/R7900/R8000/D6220/D7000
网件已经针对其中的 R6250 | R6400 | R6700 | R7000 |R8000 推出了如上所述的beta版固件,用以临时修复该命令注入安全漏洞。正在使用这几款路由器产品的用户,可点击相应链接从网件官网下载此固件。不过仍需提醒,如网件所说,这是beta测试版。除此之外,网件表示仍在持续对整个产品线做进一步核查,确认是否还有其他型号的路由器受此漏洞影响。
网件官方表示正在在进行固件升级,预计会在12月15日正式发布,用户通过升级固件就可以解决此问题。同时,12月13日 NETGEAR中国官方微博也已经发了同步的说明(点这里)。
12.13 Update:网件确认漏洞存在
Netgear方面已经确认了漏洞的存在性,且在其安全公告中表示R7000/R6400/R8000的确存在漏洞。不过这两天,一名安全研究人员进行了测试 。他在测试报告中提到Netgear的Nighthawk产品线还有其他产品也存在问题,包括了R7000、R7000P、R7500、R7800、R8500、R9000。
如果要检查自己的Netgear路由器是否受到影响,可在本地网络中用浏览器访问:
如果浏览器返回了任何信息,而非显示错误或者没有显示空白页,就表明路由器可能也存在漏洞。在不需要认证的情况下,攻击者就能对路由器发起CSRF攻击——即便路由器并没有将管理接口暴露在互联网上也是完全可行的。攻击者恶意构造网页后,劫持用户浏览器并通过浏览器发出未授权请求。也就是恶意站点迫使用户浏览器通过LAN来利用路由器漏洞。
实际上这个漏洞是web接口未能过滤URL中的潜在恶意命令所致。
影响范围:
Netgear R7000路由器,固件版本为1.0.7.2_1.1.93(可能包括更早版本);
Netgear R6400路由器,固件版本为1.0.1.6_1.0.4(可能包括更早版本);
Netgear R8000路由器,固件版本1.0.3.4_1.1.2也受影响;可能还有其他型号受到影响。
(更新)网件确认存在此漏洞的路由器型号包括:R6250/R6400/R6700/R6900/R7000/R7100LG/R7300/R7900/R8000/D6220/D7000
漏洞概述:
采用以上版本固件的相应路由器存在任意命令注入漏洞。被攻击者点击恶意构造的网站后,远程未授权攻击者就能以Root权限执行任意命令;局域网内的攻击者则可通过直接发出请求达成类似攻击效果,如访问:
有关该漏洞的PoC详情参见:https://www.exploit-db.com/exploits/40889/
解决方案:
等待Netgear发布补丁,Netgear已部分型号路由器发布补丁。亦有缓解措施可执行:
1.禁用web服务;
在执行这一步之后,除非重启,否则路由器的web管理操作就不可用了。
2.暂停使用受影响的路由器;
作为IoT的一部分,路由器也和CCTV、DVR等设备一样,会被攻击者利用、令其感染恶意程序,最终成为僵尸网络的一部分。最近名为BestBuy的黑客宣称,已经控制了320万台家用路由器,而且还将为这些路由器推送恶意固件更新。据说即便重启这些路由器也没用,僵尸网络大军依旧存在。前一阵德国电信遭遇黑客攻击,90万台路由器下线也依旧余波未停。IoT的发展究竟是时代的进步,还是时代的悲哀?
* 参考来源:CERT,欧阳洋葱编译,转载请注明来自FreeBuf.COM
