In bepaalde routers van fabrikant Netgear zit een beveiligingslek waardoor kwaadwillende gebruikers van afstand code op de apparaten kunnen uitvoeren. De kwetsbaarheid werd in januari al aan Netgear doorgegeven door het Zero-Day Initiative (zdi), maar informatie erover werd pas deze maand bekendgemaakt.
In maart was er ook al een tamelijk grootschalige beveiligingsfout bij de fabrikant, maar die is reeds verholpen.
De bug in kwestie heeft te maken met de httdp-service op de routers, die via poort 80 te bereiken is. Deze controleert inkomende data niet goed alvorens het naar een andere locatie te kopiëren, wat misbruikt kan worden om van buitenaf code op de router te draaien.
Het inlogportal en de bijbehorende beveiliging van het online bedieningspaneel van de routers kan hiermee volledig worden omzeild, zolang er direct verbinding kan worden gemaakt met de router. Als de Remote Management-functie van de router aanstaat hoeft een aanvaller potentieel niet eens met het lokale netwerk verbonden te zijn.
Deze R6700 is één van de twee modellen waarvoor een hotfix beschikbaar is.
De lijst met getroffen routers is flink: ruim 70 modellen, die teruggaan tot ten minste 2010, zijn vatbaar voor deze exploit.
Zoals gezegd kaartte het zdi deze kwetsbaarheid al in januari aan bij Netgear, met de afspraak dat het tot 15 juni zou wachten met het openbaar maken ervan. Eind mei heeft Netgear aangevraagd of de openbaring kon worden uitgesteld tot eind juni (volgens The Register), maar daar ging zdi niet mee akkoord.
Een team van cybersecuritybedrijf Grimm ontdekte dezelfde kwetsbaarheid onafhankelijk van zdi en Netgear in mei. Toen het zdi de informatie vorige week vrijgaf heeft Grimm zijn proof-of-concept-code online gezet.
Dat brengt ons naar de dag van vandaag. Marketingmanager Liam Baker van Netgear gaf de volgende reactie:
NETGEAR is op de hoogte van bepaalde beveiligingslekken in enkele producten, zoals onlangs door ZDI en GRIMM aangekaart. Over de door ZDI en GRIMM gemelde kwetsbaarheden hebben we een veiligheidsadvies gepubliceerd waarin informatie en hotfixes voor zowel de R6700v3 als de R6400v2 zijn opgenomen.
We werken aan extra hotfixes en definitieve oplossingen voor alle producten op de lijst die we nog ondersteunen op het gebied van veiligheid. Tegelijkertijd blijven we waakzaam op beveiligingsproblemen bij NETGEAR-producten.
Voor extra veiligheid is er een workaround om de huidige kwetsbaarheden tijdelijk te ondervangen: door Remote Management op de router of gateway Web GUI uit te schakelen, vermindert het risico op blootstelling aan deze kwetsbaarheden aanzienlijk. Remote Management op de web-GUI van het product is standaard uitgeschakeld.
De pagina met veiligheidsadvies geeft gedetailleerde instructies over hoe gebruikers beheer op afstand kunnen uitschakelen. Ook deelt NETGEAR hier voorbeelden om gebruikers te laten zien hoe ze zich tegen deze kwetsbaarheden kunnen beschermen. We hebben ook een bericht op het NETGEAR-community forum aangemaakt om gebruikers op een meer interactieve basis te helpen.
NETGEAR vindt veiligheid zeer belangrijk en monitort continu op bekende en onbekende bedreigingen om proactief potentiele risico’s te bestrijden.
Formatting door redactie toegevoegd ter benadrukking.
Op het moment van schrijven heeft Netgear dus voor twee routers, de R6400 en R6700, een in bèta verkerende hotfix gereed. Voor alle andere producten op de lijst, die hier terug te vinden is, is er dus nog geen oplossing. Het bedrijf raadt aan om de Remote Management-functies uit te schakelen als gedeeltelijke workaround.
Wanneer er voor de andere modellen een oplossing komt is vooralsnog niet duidelijk.
Overigens is dergelijke Remote Management-functionaliteit wel vaker gevoelig voor hacking: in maart schreef BitDefender nog over een exploit die onder andere Linksys-routers deed doorverwijzen naar een frauduleuze website over het coronavirus. Die kwetsbaarheid werkte ook via de online managementomgeving.
Bronnen: Netgear, The Register
2 besproken producten
| Vergelijk | Product | Prijs | |
|---|---|---|---|
|
Netgear R6400
|
Niet verkrijgbaar | |
|
Netgear R6700
|
Niet verkrijgbaar |
