Netgear, 1 faille du firmware permet de prendre le contrôle

Les chercheurs ont déclaré cette semaine avoir découvert une vulnérabilité zero-day non patchée dans le firmware des routeurs Netgear. Cette faille rendait vulnérable 79 modèles qui pourraient être contrôlé par des pirates.

Netgear a distribué plusieurs patchs de sécurité, disponibles ici.

La faille, un problème de sécurité de la mémoire présent dans le serveur Web httpd du firmware, permet aux attaquants de contourner l’authentification sur les installations affectées des routeurs Netgear, selon deux rapports distincts: l’un de la Zero Day Initiative (ZDI) par un chercheur appelé «d4rkn3ss» et un article de blog d’Adam Nichols de la société de cybersécurité Grimm.

“La faille se trouve dans le service httpd, qui écoute sur le port TCP 80 par défaut”, selon le rapport ZDI, qui couvre la présence de la faille dans les routeurs Netgear de la série R6700. «Le problème résulte du manque de validation appropriée de la longueur des données fournies par l’utilisateur avant de les copier dans un tampon de longueur fixe.»

L’authentification n’est pas requise pour exploiter cette vulnérabilité que les attaquants peuvent utiliser pour obtenir des privilèges root.

netgear

ZDI a déclaré avoir informé Netgear de la vulnérabilité en Janvier. La firme avait demandé à ZDI une prolongation jusqu’à la fin juin pour la divulgation publique, ce que ZDI a refusé.

Pour sa part, Nichols a découvert la faille initialement dans la série de routeurs Netgear R7000, mais a finalement identifié 79 appareils Netgear différents et 758 images de firmware qui contenaient une version vulnérable du serveur Web.

“Cette vulnérabilité affecte les firmwares dès 2007 (WGT624v4, version 2.0.6)”, a-t-il déclaré. «Étant donné le grand nombre d’images de micrologiciel, il n’est pas possible de trouver manuellement les gadgets appropriés. Il s’agit plutôt d’une bonne occasion d’automatiser la détection des gadgets. »

Nichols a déclaré que le problème résidait dans le manque de prise en charge d’une fonctionnalité appelée stack cookies ou stack canaries – une référence à l’utilisation d’un «canari dans une mine de charbon» – qui est utilisée pour détecter un débordement de tampon de pile avant que l’exécution de code malveillant puisse se produire, a-t-il expliqué. Bien que certains routeurs Netgear prennent en charge cette fonctionnalité – à savoir, la version 1.0.3.29 du micrologiciel D8500 et les versions 1.0.4.12-1.0.4.20 du micrologiciel R6300v2 – la plupart des autres ne le font pas, a-t-il déclaré.

“Les versions ultérieures du D8500 et du R6300v2 ont cessé d’utiliser des stack cookies, ce qui rend cette vulnérabilité encore exploitable”, a expliqué Nichols. “Ce n’est qu’un exemple de plus du retard de la sécurité des appareils SOHO (Small Office Home Office) par rapport à d’autres logiciels modernes.”

Les fonctionnalités de serveurs Web dans le firmware des appareils SOHO en général sont souvent l’aspect le plus vulnérable du système car ils “doivent analyser les entrées utilisateur du réseau et exécuter des fonctions CGI complexes qui utilisent cette entrée”, a-t-il déclaré.

“En plus, le serveur Web est écrit en C et a été testé très peu de fois, et donc il est souvent vulnérable aux bugs de corruption de mémoire triviaux”, a déclaré Nichols.

Exploitation de la faille zero-day de Netgear

La vulnérabilité zero-day peut être exploitée de deux manières, a expliqué Nichols dans son article. La première façon consiste à exploiter la fonction recv utilisée dans l’analyseur http du serveur Web à travers une série d’étapes qui conduisent finalement à un débordement de tampon de la pile.

Les attaquants peuvent également utiliser une attaque CSRF pour exploiter la vulnérabilité, bien qu’il ou elle ait besoin de connaître le modèle et la version du routeur qu’ils ciblent pour réussir cela, a-t-il expliqué.

“Si un utilisateur avec un routeur vulnérable accède à un site Web malveillant, ce site Web pourrait exploiter le routeur de l’utilisateur … en diffusant une page HTML qui envoie une requête AJAX contenant l’exploit à l’appareil cible”, a déclaré Nichols. “Cependant, comme la page Web CSRF ne peut pas lire les réponses du serveur cible, il n’est pas possible de prendre les empreintes digitales de l’appareil à distance.”

netgear

Pour atténuer la vulnérabilité il est possible de restreindre l’interaction avec le service aux machines de confiance, selon le rapport de ZDI.

“Seuls les clients et serveurs qui ont une relation procédurale légitime avec le service devraient être autorisés à communiquer avec lui”, selon le rapport. «Cela pourrait être accompli de plusieurs façons, notamment avec des règles de pare-feu/liste blanche.»

En Mars, Netgear a corrigé une faille critique d’exécution de code à distance qui pourrait permettre à un individu non authentifié de prendre le contrôle de son matériel Wireless AC Router Nighthawk (R7800) exécutant des versions de firmware antérieures à la version 1.0.2.68. Il a également corrigé deux failles de forte gravité affectant les routeurs Nighthawk, 21 failles de gravité moyenne et une considérée comme faible.