Netgear ha corretto una vulnerabilità di tipo RCE (Remote Code Execution) di elevata gravità e tracciata come CVE-2021-40847 (con punteggio CVSS e 8.1) riscontrata nel servizio parental control di diversi modelli router di tipo SOHO, adatti per piccoli uffici o usi domestici: se sfruttato con successo, il bug potrebbe consentire ad un attaccante remoto di eseguire codice arbitrario sul dispositivo esposto e prendere il controllo del traffico di rete e quindi di tutta la LAN.
Indice degli argomenti
Vulnerabilità nei router Netgear: di cosa si tratta
Nello specifico, secondo il ricercatore di sicurezza Adam Nichols di GRIMM, il processo di aggiornamento del servizio parental control denominato “Circle” (un componente di terze parti incluso nel firmware e che offre funzionalità di controllo parentale) previsto su circa una dozzina di router Netgear consentirebbe ad attaccanti remoti con accesso alla rete di eseguire con privilegi amministrativi codice arbitrario tramite un attacco Man-in-the-Middle.
Questo perché il relativo demone di aggiornamento (“Circled”) in cui risiederebbe il bug è abilitato per impostazione predefinita anche se il servizio di controllo non è configurato sui router.
I dispositivi Netgear interessati dalla vulnerabilità sono i seguenti:
- R6400v2 fixed con versione di firmware 1.0.4.120
- R6700 con versione di firmware 1.0.2.26
- R6700v3 con versione di firmware 1.0.4.120
- R6900 con versione di firmware 1.0.2.26
- R6900P con versione di firmware 3.3.142_HOTFIX
- R7000 con versione di firmware 1.0.11.128
- R7000P con versione di firmware 1.3.3.142_HOTFIX
- R7850 con versione di firmware 1.0.5.76
- R7900 con versione di firmware 1.0.4.46
- R8000 con versione di firmware 1.0.4.76
- RS400 con versione di firmware 1.5.1.80
Il possibile modus operandi di un attacco
Per sfruttare con successo questa vulnerabilità, gli attaccanti dovrebbero dapprima intercettare il traffico dati mentre si trovano sulla stessa rete.
Questo gli serve per recuperare gli aggiornamenti al database di filtraggio durante la comunicazione, che avviene tra il router e il servizio di terze parti tramite una connessione HTTP e con dati non firmati.
Ciò consente a un intruso di architettare un attacco MitM e rispondere alla richiesta di aggiornamento con un database appositamente compromesso per dare la possibilità di sovrascrive i binari eseguibili con codice dannoso e privilegi di root.
Sempre secondo il ricercatore Nichols, una volta assunto il controllo completo del traffico di rete che passa attraverso il router compromesso e gli altri dispositivi inclusi sulla rete della vittima, si attiverebbe una probabile catena di attacchi che gli attori delle minacce potrebbero utilizzare per violare una rete aziendale:
- l’aggressore esegue una ricognizione iniziale per determinare l’ISP utilizzato dai dipendenti della società bersaglio;
- l’attaccante compromette questo ISP tramite altri mezzi (phishing, exploit ecc.);
- dall’interno dell’ISP, l’attaccante sarà in grado di compromettere qualsiasi router esposto alla vulnerabilità del servizio Circle Parental Control;
- dai router compromessi, l’attaccante può comunicare direttamente con qualsiasi computer aziendale connesso al router. Quindi, utilizzando un exploit per una vulnerabilità separata, come la recente vulnerabilità PrintNightmare, gli aggressori possono compromettere questi computer;
- una volta che gli aggressori hanno compromesso i computer aziendali, possono spostarsi sulla rete aziendale ed esfiltrare i dati aziendali o lanciare ulteriori attacchi all’azienda.
Vulnerabilità nei router Netgear: come mitigarla
Quest’ultima divulgazione arriva settimane dopo che l’esperto di sicurezza di Google Gynvael Coldwind ha rivelato i dettagli di tre gravi vulnerabilità di sicurezza soprannominate Demon’s Cries, Draconian Fear e Seventh Inferno su smart switch Netgear, e dopo che a giugno Microsoft ha rivelato altre vulnerabilità critiche in alcuni router Netgear. Tutte circostanze, queste, che possono mettere a serio rischio la sicurezza delle reti aziendali a seguito di uno sfruttamento riuscito.
Secondo GRIMM, per mitigare i rischi a cui i router SOHO vulnerabili espongono gli ambienti aziendali sarebbe raccomandabile il provisioning e l’uso di client VPN.
In ogni caso, e il prima possibile, qualora si volesse scaricare i firmware aggiornati per i propri dispositivi, Netgear consiglia di seguire la seguente procedura:
- visitare l’assistenza Netgear;
- digitare il numero del modello nella casella di ricerca;
- fare clic su Download;
- in Versioni correnti selezionare il primo download il cui titolo inizia con Versione firmware;
- fare clic su Note sulla versione;
- seguire le istruzioni nelle note sulla versione del firmware per scaricare e installare il nuovo firmware.
