Onveilig updateproces Netgear-routers maakt remote code execution mogelijk
Een onveilig updateproces in verschillende routers van fabrikant Netgear maakt het voor aanvallers mogelijk om op afstand willekeurige code met rootrechten uit te voeren. Netgear heeft inmiddels firmware-updates uitgebracht om de kwetsbaarheid te verhelpen.
Het beveiligingslek is aanwezig in de Circle Parental Control Service die voor ouderlijk toezicht wordt gebruikt. Ouderlijk toezicht staat standaard niet ingeschakeld op de kwetsbare Netgear-routers, maar het updateproces van de Circle Parental Control Service wel. Het updateproces maakt via het onbeveiligde http verbinding met Netgear voor het downloaden van database-updates. Daarnaast zijn deze updates niet digitaal gesigneerd.
Een aanvaller tussen de router en het internet kan hierdoor malafide updates aanbieden die de router zal installeren. De bestanden die op deze manier kunnen worden overschreven draaien als root, waardoor ook de code van de aanvaller met rootrechten draait. "Met roottoegang tot een router kan een aanvaller al het verkeer lezen en aanpassen", aldus beveiligingsonderzoeker Adam Nichols.
Netgear werd in juli van dit jaar gewaarschuwd en kwam afgelopen maandag met updates voor de R6400v2, R6700, R6700v3, R6900, R6900P, R7000, R7000P, R7850, R7900, R8000 en RS400. Gebruikers wordt opgeroepen de firmware-updates zo snel mogelijk te installeren. "Deze remote code execution-kwetsbaarheid blijft aanwezig als je niet alle stappen doorloopt. Netgear is niet aansprakelijk voor gevolgen die voorkomen hadden kunnen worden door de aanbevelingen in deze notificatie te volgen", aldus de fabrikant.
Bij dit soort Netgear apparatuur kan je beter een alternatieve firmware (zoals bijv. ddwrt) gebruiken.
En dat is ook meteen de achilleshiel:
- bij een kortstondige overname van het updatekanaal worden grote hoeveelheden apparaten permanent besmet
- updateservers kunnen van adres veranderen waardoor oudere hardware snel onbruikbaar wordt
- bij automatische updates wordt vaak vergeten om de compatibiliteit van de config files te controleren
- het is vaak niet mogelijk om naar een ouder image terug te gaan
Het moet eigenlijk anders:
Er moet een ROM in alle apparatuur met basis firmware die bij een hard reset het nvram volledig overschrijft.
Vervolgens kan men een knop op het apparaat een (signed) secundair image en recent config van USB naar het nvram kopieëren en dit als startup image instellen.
Een variant hierop is het laden van de firmware en config direct vanaf een verwisselbaar read-only medium en wekelijks het apparaat rebooten met de watchdog timer en dip switches. Uiteraard moet de kwaliteit van de code omhoog zodat er minder vaak ge-update moet worden.
De public key en/of fingerprint zou je in de doos van het apparaat kunnen stoppen en op de website kunnen zetten en door de leverancier op de factuur kunnen laten printen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.