Logo
Hamburger Menu Icon
Yoroi Background

0-Day su Dispositivi SOHO Netgear

06/16/2020

 Proto: N050620.

Con la presente Yoroi desidera informarla riguardo alla recente scoperta di una vulnerabilità 0-day su vari modelli di dispositivi di rete Netgear diffusi in ambiente small e home office (SOHO). 

A causa di lacune nella gestione della memoria all’interno del componente httpd dei firmware Netgear, adibito alla gestione delle richieste utente alle interfacce web dei dispositivi, un attaccante di rete può essere in grado di eseguire codice arbitrario nel dispositivo bersaglio prendendone il completo controllo senza alcuna autenticazione.

Questa condizione apre a scenari di rischio non trascurabili in quanto gli attacchi possono essere condotti anche al di fuori della rete locale, ad esempio con l'ausilio di tecniche di DNS Rebinding o di Exploit-kit distribuiti tramite Malvertising, analogamente a quanto avvenuto in passato con le campagne GhostDNS o per la creazione di botnet su largo spettro.

Figura. Esposizione internet dispositivi Netgear (Source:ShodanHQ)

Il Vendor è a conoscenza della problematica tuttavia non ha ancora rilasciato aggiornamenti firmware nonostante siano stati pubblicati dettagli tecnici e strumenti di attacco per testare la criticità. Tuttavia, secondo ricercatori di sicurezza di terze parti, il modulo httpd fallato è presente su 758 immagini firmware Netgear vulnerabili, ad esempio: 

  • Netgear R7000
  • Netgear R6700
  • Netgear D6300
  • Netgear DGN2200
  • Netgear DGN2200v4
  • Netgear DGN2200M
  • Netgear EX6100
  • Netgear R6250
  • Netgear R6300v2
  • Netgear R6400
  • Netgear R8300
  • Netgear R8500
  • Netgear WGR614v9
  • Netgear WGR614v10
  • Netgear WGT624v4
  • Netgear WN3000RP
  • Netgear WNDR3300
  • Netgear WNDR3400
  • Netgear WNDR3400v2
  • Netgear WNDR3400v3
  • Netgear WNDR3700v3
  • Netgear WNDR4000
  • Netgear WNDR4500v2
  • Netgear WNR834Bv2
  • Netgear WNR1000v3
  • Netgear WNR2000v2
  • Netgear WNR3500
  • Netgear WNR3500L
  • Netgear WNR3500Lv2

Considerato la diffusione dei dispositivi potenzialmente afflitti, la remotizzazione di parte della forza lavoro durante gli ultimi mesi, la disponibilità di strumenti di attacco, le attitudini degli ambienti cyber-criminali allo sfruttamento di questa tipologia di falle per la creazione di botnet di distribuzione malware e attacchi DDoS, Yoroi consiglia di appurare che la vostra forza lavoro che opera in remoto utilizzi canali di comunicazioni sicuri, ad esempio VPN con 2FA, per accedere ai servizi aziendali e di monitorare i prossimi aggiornamenti firmware in corso di rilascio dal Vendor. 

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index

linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram