Netgear ha puesto en marcha una investigación a raíz de los informes de que algunos de sus routers se ven afectados por una vulnerabilidad crítica que puede ser explotada de forma remota para secuestrar los dispositivos
El defecto se cree que afecta Netgear R7000, R6400, R8000 y posiblemente otros modelos. De acuerdo con el CERT / CC, el agujero de seguridad puede ser explotado para ejecutar código arbitrario con privilegios de root en los routers afectados por conseguir el usuario objetivo para visitar una página web especialmente diseñada.
Investigador Kalypto Rosa señaló que el exploit también podría ser entregado a través de ataques de publicidad maliciosa.
"La vulnerabilidad permite la ejecución de comandos de Linux, simplemente añadiendo el comando a una URL", segun el experto. "Los comandos se ejecutan con privilegios de root. Esto se puede utilizar para hacer estallar una sesión de Telnet, FTP, manda que el router para atacar a otros equipos, o casi cualquier otra cosa que el usuario malintencionado quiere hacer ".
Una prueba de concepto (PoC) explota esta vulnerabilidad ha sido puesto a disposición. Hasta que se publique un parche, CERT/CC recomienda a cualquiera descontinuar el uso de los routers Netgear vulnerables, o la aplicación de una solución encontrada por Bas van Schaik.
De Van Schaik encontro una solución temporal aprovechando la falla en sí, desactivar el servidor web del dispositivo. Sin embargo, esta solución sólo funciona hasta que el router se reinicia y la interfaz de administración web no está disponible durante este tiempo.
Los usuarios pueden comprobar si su enrutador Netgear se ve afectada por el acceso a la siguiente URL: http://[enrutador-IP-address]/cgi-bin/;uname$IFS-A
Si la página muestra que no sea un error o una página vacía nada, el dispositivo es vulnerable. Con el fin de prevenir los ataques, el proceso del servidor web puede ser terminado con este comando: http://[enrutador-IP-address]/cgi-bin/;killall $ IFS'httpd'
