速修复这些Netgear Orbi路由器漏洞

admin 2023年3月24日02:27:09评论115 views字数 1017阅读3分23秒阅读模式
速修复这些Netgear Orbi路由器漏洞
思科Talos团队发布了Netgear Orbi 740系列路由器和扩展卫星中多个漏洞的PoC exploit,其中一个漏洞是严重的远程命令执行漏洞。

Netgear Orbi 是适用于家庭用户的流行网络无线网格系统,可同时最多为5000至1.25万平方英尺之间的空间的40台联网设备提供强大的覆盖率和吞吐量。

思科研究人员在2022年8月30日向Netgear 报告,并督促用户将固件升级至2023年1月19日发布的最新版本4.6.14.3。

Orbi 漏洞

第一个也是最严重的漏洞是CVE-2022-37337(CVSS评分9.1),是位于Netgear Orbi 路由器访问控制功能中的一个可利用命令执行漏洞。攻击者可利用公开可访问的管理控制台,向该易受攻击的路由器发送特殊构造的HTTP请求,在设备上执行任意命令。

第二个漏洞是CVE-2022-38452,是位于路由器telnet服务中的高危远程命令执行漏洞,该漏洞的利用要求合法凭据和MAC地址。这是Netgear公司在一月固件更新中发布的四个漏洞中唯一一个没有修复的漏洞,因此目前尚未修复。

第三个漏洞是CVE-2022-36429,是位于Netgear Orbi 卫星后端通信功能中的一个高危命令注入漏洞,该功能与路由器相连以拓展网络覆盖。攻击者可向设备发送特殊构造的JSON对象序列,利用该漏洞。不过成功攻击需要获取管理员权限。

第四个漏洞CVE-2022-38458是一个影响Netgear Orbi路由器远程管理功能的明文传输问题,可导致中间人攻击,从而导致敏感信息遭泄露。

在发布这些漏洞详情时,思科并未发现它们遭利用的迹象。不过考虑到CVE-2022-37337的PoC已公开,攻击者可尝试查找配置不当且公开可访问的路由器实施利用。

好消息是这些利用要求本地访问权限、合法的登录凭据或要求管理员控制台可公开访问,使得漏洞难以遭利用。然而,从Shodan 快速搜索就可发现近1万台Orbi设备可从互联网公开访问,且多数位于美国。如果用户使用了管理员凭据,则可能遭攻击。

虽然Orbi确实支持自动安装更新,但BleepingComputer表示在一台Orbi设备上新固件并未自动安装,而改设备运行的是在2022年8月发布的软件。因此Netgear Orbi 750系列设备机主应当手动检查运行的是否是最新版本,如不是,则应尽快升级固件。

原文始发于微信公众号(代码卫士):速修复这些Netgear Orbi路由器漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月24日02:27:09
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   速修复这些Netgear Orbi路由器漏洞http://cn-sec.com/archives/1624342.html

发表评论

匿名网友 填写信息