Netgear, una empresa de equipos de red, ha lanzado parches que abordan una vulnerabilidad de ejecución remota de código de alta gravedad que afecta a varios enrutadores y que los atacantes remotos podrían explotar para tomar el control del sistema afectado.

Rastreada como CVE-2021-40847 (puntaje CVSS: 8.1), la vulnerabilidad de seguridad afecta a los siguientes modelos:

• R6400v2 (corregido en la versión de firmware 1.0.4.120)
• R6700 (corregido en la versión de firmware 1.0.2.26)
• R6700v3 (corregido en la versión de firmware 1.0.4.120)
• R6900 (corregido en la versión de firmware 1.0.2.26)
• R6900P (corregido en la versión de firmware 3.3.142_HOTFIX)
• R7000 (corregido en la versión de firmware 1.0.11.128)
• R7000P (corregido en la versión de firmware 1.3.3.142_HOTFIX)
• R7850 (corregido en la versión de firmware 1.0.5.76)
• R7900 (corregido en la versión de firmware 1.0.4.46)
• R8000 (corregido en la versión de firmware 1.0.4.76)
• RS400 (corregido en la versión de firmware 1.5.1.80)

Según el investigador de seguridad de GRIMM, Adam Nichols, la vulnerabilidad se encuentra en Circle, un componente de terceros incluido en el firmware que ofrece funciones de control parental en dispositivos Netgear. El problema afecta principalmente al demonio de actualización de Circle, que está habilitado de forma predeterminada aunque el enrutador no se haya configurado para limitar el tiempo diario de Internet para sitios web y aplicaciones, lo que da como resultado un escenario que podría permitir que los malos jugadores con acceso a la red obtengan la ejecución remota de código ( RCE) como root a través de un ataque Man-in-the-Middle (MitM).

Esto es posible gracias a la forma en que el demonio de actualización (llamado «en un círculo») se conecta a Circle y Netgear para cargar actualizaciones en la base de datos de filtrado, que no están firmadas y se descargan a través de HTTP, lo que permite que un intruso realice un ataque MitM y responda a un solicitud de actualización mediante Un archivo de base de datos comprimido especialmente diseñado que, cuando se extrae, permite a un atacante sobrescribir archivos binarios ejecutables con código malicioso.

«Debido a que este código se ejecuta como raíz en los enrutadores afectados, explotarlo para obtener RCE es tan dañino como la vulnerabilidad RCE que se encuentra en el firmware subyacente de Netgear», dijo Nichols. «Esta vulnerabilidad particular muestra nuevamente la importancia de reducir el área de ataque».

El lanzamiento se produce semanas después de que el ingeniero de seguridad de Google, Gynvael Coldwind, revelara los detalles de tres vulnerabilidades de seguridad graves llamadas Demon’s Cries, Draconian Fear y Seventh Inferno, que afectan a más de una docena de sus interruptores inteligentes y permiten a los actores de amenazas eludir la autenticación y obtener el control total de los vulnerables. dispositivos. . .

ACTUALIZACIONES: Tras la publicación de la historia, Circle compartió la siguiente declaración con The Hacker News:

«Circle ha desarrollado soluciones de software para abordar las vulnerabilidades de arranque lanzadas recientemente en los enrutadores de Netgear y ha trabajado con Netgear para garantizar que esté disponible para los clientes de Netgear. Circle recomienda que los usuarios de Netgear se aseguren de usar el firmware más reciente para sus enrutadores de Netgear». Esta vulnerabilidad no afecta a ningún otro cliente de Circle».