Microsoft heeft onlangs een reeks beveiligingsfouten ontdekt in Netgear-routers. De fouten kunnen leiden tot datalekken en volledige systeemovernames. Gelukkig, de kwetsbaarheden zijn verholpen voordat ze openbaar werden gemaakt.
Hoe Microsoft de kwetsbaarheden van de Netgear-firmware ontdekte
Blijkbaar, Microsoft "ontdekte de kwetsbaarheden tijdens onderzoek naar apparaatvingerafdrukken in de nieuwe apparaatdetectiemogelijkheden in Microsoft Defender for Endpoint." Tijdens dit onderzoek, het bedrijf observeerde "een heel vreemd gedrag",” met een apparaat dat eigendom is van niet-IT-personeel. Het apparaat probeerde toegang te krijgen tot de beheerpoort van een NETGEAR DGN-2200v1-router.
Verwant: De Netfilter Rootkit: Hoe Microsoft een kwaadaardig stuurprogramma heeft ondertekend
"De communicatie werd gemarkeerd als afwijkend door modellen voor machine learning, maar de communicatie zelf was TLS-gecodeerd en privé om de privacy van de klant te beschermen, dus besloten we ons te concentreren op de router en te onderzoeken of deze zwakke punten in de beveiliging vertoonde die kunnen worden misbruikt in een mogelijk aanvalsscenario,”Microsoft uitgelegd.
Tijdens hun uitgebreide onderzoek naar de routerfirmware, de maker van het besturingssysteem ontdekte drie HTTPd-authenticatieproblemen.
De eerste kwetsbaarheid gaf toegang tot elke pagina op een apparaat, inclusief degene die authenticatie vereisen. Dit kan worden gedaan door GET-variabelen toe te voegen aan verzoeken binnen substrings, het creëren van de mogelijkheid voor een volledige authenticatie-bypass.
De tweede kwetsbaarheid kan side-channel-aanvallen mogelijk maken op de manier waarop de router gebruikers verifieerde via HTTP-headers. Door deze bug kunnen aanvallers opgeslagen gebruikersreferenties extraheren.
De laatste fout gebruikte het probleem met het omzeilen van eerdere authenticatie om het configuratieherstelbestand van de router te extraheren, versleuteld via een constante sleutel. Hierdoor kunnen aanvallers op afstand de opgeslagen geheimen ontsleutelen en extraheren.
De bevindingen zijn bekendgemaakt aan Netgear via Microsoft Security Vulnerability Research. Beide bedrijven werkten samen om advies te geven over het verminderen van de gebreken "met behoud van achterwaartse compatibiliteit".
Naar aanleiding van deze gebeurtenissen, de kritieke bugs met CVSS-score binnen 7.1 - 9.4 zijn gerepareerd door Netgear.
In 2020, 79 Netgear-routermodellen bleken een ernstig beveiligingsprobleem te bevatten dat tot afstandsbediening zou kunnen leiden. Het getroffen probleem: 758 firmwareversies gebruikt in 79 Netgear-routermodellen.
De fout werd ontdekt door twee cybersecurity-onderzoekers - Adam Nichols van GRIMM en d4rkn3ss van Vietnamese ISP VNPT. Het is opmerkelijk dat de twee onderzoekers de ontdekking onafhankelijk hebben gedaan, waarbij beiden zeiden dat ze de kwetsbaarheid aan het begin van Netgear hadden gemeld 2020.