Netgear 刚刚发布了安全公告,用户提供了10多个路由器,尽快更新固件。受可被攻击者用于远程执行代码的安全漏洞的影响,您甚至可以在不使用相关软件的情况下成为受害者。具体受影响的型号包括 R6400v2、R6700、R6700v3、R6900、R6900P、R7000、R7000P、R7850、R7900、R8000,以及 RS400 。
Netgear R7000P 资料图
考虑到产品实际零售名称与型号代码的对应关系不容易区分,建议用户查看 Netgear 路由器底部的标签可以区分你是否被抓住。
如果你不幸躺在枪上,请移动 Netgear 官方网站支持页面,输入设备型号,下载相应的补丁,然后参考发行说明书顺利更新固件。
图 - 1:创建恶意 Circle 数据库
安全公司 Grimm一篇博客文章指出,这个漏洞起源于迪士尼最初设计的 Circle 第三方家长控制软件。作为一种可选功能,即使用户不需要,它也被预装在多种类型中 Netgear 路由器上。
Adam Nichols 解释说:路由器上 Circle 家长控制服务的更新过程允许具有网络访问权限的远程攻击者通过中间人攻击(MitM)方式,伪造 root 执行远程代码的身份(RCE)”。
图 - 2:创建具有绝对路径的包装文件(Linux 平台上的 tarball)
不好的是,即使没有受到影响 Netgear 默认启用路由器上的家长控制功能,Circle 默认情况下也会使用更新保护程序。
Nichols 补充道:守护过程连接到 Circle 和 Netgear,获取版本号等信息,更新其过滤数据库。
但最令人担忧的是,来自 Netflix 数据库更新没有签名,通过不安全 HTTP 超文本传输协议 HTTPs)来下载的。
这意味着中间攻击的发起人可以在通信流量中插入特殊的数据库文件。提取文件后,攻击者可以使用其控制代码覆盖可执行文件。
截图(来源:Netgear 官网)
最后,尽管 Circle初代已于去年年底停用 MyCircle 应用和 Circle Go 移动设备管理软件,但设备管理软件 Circle on Netgear 产品线。