Netgear发布固件更新公告:十余款路由器受CircleRCE安全漏洞影响
Netgear刚刚发布了一份安全公告,为其十多台路由器的用户提供尽快更新固件的服务。受一个可被攻击者利用远程执行代码的安全漏洞影响,你甚至可能在不使用相关软件的情况下成为受害者。受影响的型号包括R6400v2、R6700、R6700v3、R6900、R6900P、R7000、R7000P、R7850、R7900、R8000和RS400。
网件R7000P资料图
考虑到实际零售名称与产品型号代码的对应关系不易区分,建议广大用户查看网件路由器底部的标签,识别是否被抓。
如果你不幸躺枪,请放心前往Netgear官网支持页面,输入设备型号并下载相应补丁,然后参考发行说明顺利更新固件。
图1:创建恶意圈子数据库
安全公司Grimm在博文中指出,该漏洞源于Circle最初由迪士尼设计的第三方家长控制软件。作为一个可选功能,即使用户不需要,它也预装在许多Netgear路由器上。
Adam Nichols解释道:“路由器上Circle parental control服务的更新过程允许具有网络访问权限的远程攻击者通过中间人攻击(MitM)和伪造root身份来执行远程代码(RCE)”。
图2:创建一个带有绝对路径的打包文件(Linux平台上的tarball)
遗憾的是,即使受影响的Netgear路由器上默认未启用家长控制功能,Circle的更新守护程序也会默认启用。
Nichols补充说:这个守护程序连接到Circle和Netgear,以获取版本号等信息,并更新其过滤数据库。
但最令人担忧的是,来自网飞的数据库更新是未签名的,是通过不安全的HTTP超文本传输协议(而不是HTTPs)下载的。
这意味着中间人攻击的发起者可以在通信流量中插入一个特殊的数据库文件。提取文件后,攻击者可以用他控制的代码覆盖可执行文件。
截图(来自:Netgear官网)
最后,虽然Circle在去年年底停止使用原有的MyCircle应用和Circle Go移动设备管理软件,但它声称这一变化并不适用于Netgear产品线上的Circle。