Netgear 剛剛發布了一份安全公告,提供旗下十餘款路由器的用戶們儘快更新固件。受一個可被攻擊者利用來遠程執行代碼的安全漏洞的影響,你甚至會在不使用相關軟件的情況下成為受害者。具體受影響的型號包括 R6400v2、R6700、R6700v3、R6900、R6900P、R7000、R7000P、R7850、R7900、R8000,以及 RS400 。
Netgear R7000P 資料圖
考慮到產品實際零售名稱與型號代碼的對應關係不太好分辨,建議廣大用戶查看 Netgear 路由器底部的標籤來辨別自己是否中招。
如果不幸躺槍,還請儘管移步至 Netgear 官網支持頁面,輸入設備型號並下載相應的補丁,然後參照發行說明以順利更新固件。
圖 – 1:創建惡意 Circle 數據庫
安全公司 Grimm 在一篇博文中指出:該漏洞源於最初由迪士尼設計的 Circle 第三方家長控制軟件。作為一個可選功能,即使用戶並不需要,它也被預裝在了多款 Netgear 路由器上。
Adam Nichols 解釋稱:“路由器上 Circle 家長控制服務的更新過程,允許具有網絡訪問權限的遠程攻擊者通過中間人攻擊(MitM)的方式、偽造 root 身份來執行遠程代碼(RCE)”。
圖 – 2:創建一個帶有絕對路徑的打包文件(Linux 平台上的 tarball)
糟糕的是,即使沒有在受影響的 Netgear 路由器上默認啟用家長控制功能,Circle 的更新守護程序也會在默認情況下啟用。
Nichols 補充道:該守護進程連接到了 Circle 和 Netgear,以獲取諸如版本號之類的信息、並更新其過濾數據庫。
但最讓人感到憂慮的是,來自 Netflix 的數據庫更新竟然不帶簽名,並且是通過不安全的 HTTP 超文本傳輸協議(而非 HTTPs)來下載的。
這意味着中間人攻擊的發起者可在通信流量中插入特製的數據庫文件,在提取文件之後,攻擊者可利用其控制的代碼而覆蓋可執行文件。
截圖(來自:Netgear 官網)
最後,儘管 Circle 已於去年底停用了初代 MyCircle 應用和 Circle Go 移動設備管理軟件,但其聲稱這項變動並不適用於 Circle on Netgear 產品線。