Netgear ne patchera pas 45 modèles de routeurs vulnérables

Netgear ne corrigera pas 45 modèles de routeurs vulnérables à une faille d’exécution de code à distance de haute gravité, a révélé la société américaine la semaine dernière. Cependant, la société affirme que les routeurs qui ne recevront pas de mises à jour sont obsolètes ou ont atteint leur fin de vie.

La vulnérabilité d’exécution de code à distance en question, qui a été révélée le 15 juin dernier, permet aux attaquants adjacents au réseau de contourner l’authentification sur les routeurs Netgear vulnérables. La faille de gravité élevée affecte 79 routeurs Wi-Fi Netgear et modèles de passerelle domestique – mais Netgear affirme que 45 de ces modèles de routeur ont dépassé sa «période de support de sécurité».

«Netgear a fourni des mises à jour du firmware avec des correctifs pour tous les produits pris en charge précédemment divulgués par ZDI et Grimm», a déclaré Netgear dans un communiqué de presse. «Les autres produits inclus dans la liste publiée sont en dehors de notre fenêtre de support. Dans ce cas précis, les paramètres étaient basés sur la dernière date de vente du produit qui était fixée à trois ans ou plus. “

Une liste complète des modèles de routeurs qui ne seront pas corrigés, ainsi que de ceux qui ont des correctifs en cours de déploiement, est disponible sur le site Web de Netgear.

netgear

«Quand nous regardons les fenêtres de support, certains supports de nos produits durent cinq ou six ans, tandis que d’autres ne durent que quelques années», a déclaré David Henry, vice-président senior des produits de maison connectée chez Netgear. «Lorsque nous lançons un produit, à mesure qu’il vieillit, il entre en fin de vie et nous arrêtons de le fabriquer et réduisons les ventes.»

Par exemple, parmi les modem-routeurs qui ne recevront pas de mise à jour, il y’a le modèle AC1450, qui est sorti en 2009. D’autres modèles de routeur, bien plus récents, ont atteint leur fin de vie: les routeurs sans fil R6200 et R6200v2 ont atteint leur fin de vie en 2013 et 2016, respectivement; tandis que le routeur sans fil Nighthawk R7300DST a atteint sa fin de vie au premier semestre 2017, a déclaré Henry.

Quoi qu’il en soit, Henry a souligné que les clients utilisant à la fois des modèles de routeurs plus récents et plus anciens restent informés des mises à jour de sécurité, ainsi que l’adoption des meilleures pratiques de sécurité, y compris la désactivation de fonctionnalités telles que l’accès à distance ou la modification des mots de passe d’administrateur (qui, selon lui, est appliquée par Netgear).

«Je pense qu’il est vraiment important que les clients prêtent attention aux mises à jour que nous envoyons chaque trimestre sur nos produits», a déclaré Henry.

La faille de Netgear

Selon la Zero Day Initiative (ZDI), qui a révélé le problème, la faille existe dans le service httpd, qui écoute sur le port TCP 80 par défaut. Le problème résulte du manque de validation correcte de la longueur des données fournies par l’utilisateur avant de les copier dans un tampon de longueur fixe. Un attaquant peut exploiter cette faille pour exécuter du code dans le contexte du root.

«Compte tenu de la nature de la vulnérabilité, la stratégie de mitigation la plus importante consiste à restreindre l’interaction avec le service aux machines de confiance», selon ZDI. «Seuls les clients et serveurs ayant une relation procédurale légitime avec le service devraient être autorisés à communiquer avec lui. Cela pourrait être accompli de plusieurs manières, notamment avec des règles de pare-feu/une liste blanche. »

La faille a été signalée à Netgear le 8 janvier 2020 et le 15 juin 2020, l’avis de sécurité de la faille a été rendu public sans correctif disponible. De plus, une preuve de concept a été publié par le blog GRIMM le 15 juin 2020.

netgear

Netgear a déployé des correctifs pour 34 des modèles vulnérables depuis la divulgation de la faille. Cela inclut la distribution de «correctifs de sécurité» pour les modèles, qui sont des correctifs appliqués en plus des microprogrammes existants entièrement testés.

«La publication de correctifs permet à Netgear de mettre à jour rapidement les produits existants et de rationaliser le processus de vérification du micrologiciel sans passer par des tests de régression complets», selon Netgear. “Ces correctifs sont ciblés sur des problèmes de sécurité spécifiques et devraient avoir un effet minimal sur les autres zones du code du produit.”

Controverse sur la chronologie d’application des patchs

Plusieurs experts en sécurité critiquent Netgear pour ses politiques et procédures de correctifs. Brian Gorenc, directeur principal de la recherche sur les vulnérabilités et responsable du programme Zero Day Initiative (ZDI) de Trend Micro, a déclaré que les vulnérabilités révélées représentaient certaines des catégories de failles les plus graves.

«Malheureusement, il y a trop d’exemples de fournisseurs abandonnant des appareils qui sont encore largement utilisés – parfois même lorsqu’ils sont encore disponibles à l’achat», a déclaré Gorenc. «Nous devons peut-être recommander aux fabricants de prendre en charge leurs produits plus longtemps. Si nous récompensons les bonnes communications et le support à long terme des fournisseurs, peut-être que ce problème d’abandon s’améliorera. »

Zach Varnell, consultant senior AppSec chez nVisium, a déclaré que la divulgation de cette vulnérabilité «semble être plus que généreuse puisque le chercheur a suivi des pratiques de divulgation responsable et a même donné une prolongation lorsqu’on lui a demandé.

«C’est dommage pour quiconque possède l’un de ces routeurs, mais c’est la réalité des cycles de vie des produits», a déclaré Varnell. «Fondamentalement, tout – y compris les logiciels, les jouets, les voitures, l’électronique, les appareils électroménagers – atteindra un âge où leur fabricant ne les supportera plus. La durée du support varie considérablement, pour les logiciels cela tendance à être plus courts car les nouveaux développements se font beaucoup plus rapidement que pour le matériel. »

«Les consommateurs doivent toujours s’assurer que leurs appareils sont toujours pris en charge par les fabricants et vérifier l’assistance disponible avant d’acheter un nouvel appareil», a déclaré Gorenc.

Des vulnérabilités dans les routeurs ont été découvertes à plusieurs reprises au cours de l’année écoulée. En Mars, Netgear a averti les utilisateurs d’une faille critique d’exécution de code à distance qui pourrait permettre à un attaquant non authentifié de prendre le contrôle de son matériel Wireless AC Router Nighthawk (R7800) exécutant des versions de micrologiciel antérieures à 1.0.2.68. En juillet, une paire de failles dans les routeurs ASUS domestique a été découverte, ce qui pourrait permettre à un attaquant de compromettre les appareils et d’écouter tout le trafic et les données qui les traversent.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x