A Netgear decidiu silenciosamente não corrigir mais de 40 roteadores domésticos para bloquear uma vulnerabilidade de execução remota de código – apesar dos pesquisadores de segurança terem publicado código de exploração de prova de conceito.
A vuln foi revelada publicamente em junho pela Zero Day Initiative (ZDI) da Trend Micro, depois de seis meses passando a Netgear nos bastidores para levar a sério.
Leitores de olhos atentos ao Reg , no entanto, notaram que a Netgear declarou silenciosamente 45 dos produtos afetados como “fora do período de suporte de segurança” – o que significa que esses itens não serão atualizados para protegê-los contra o vuln.
A Universidade Carnegie-Mellon dos EUA resumiu a vulnerabilidade em uma nota do Instituto de Engenharia de Software: “Vários dispositivos Netgear contêm um estouro de buffer de pilha no processamento do upgrade_check.cgi pelo servidor da web httpd, que pode permitir a execução remota de código não autenticada com privilégios de root”.
Atordoada pela pressão dos pesquisadores da infosec que chegaram à tona em junho quando a ZDI foi aberta, a Netgear começou a emitir patches. Ele havia classificado 28 das 79 linhas de produtos vulneráveis até o final daquele mês.
A Gros, da Infosec, entrou em cena depois de descobrir de forma independente a vulnerabilidade, publicando explorações de prova de conceito para os dispositivos SOHO (Small Office / Home Office).
Com a revelação de hoje de que 45 itens em grande parte para consumidores e para PMEs nunca serão corrigidos, a Netgear enfrenta dúvidas sobre seu compromisso com as linhas de produtos mais antigas. Tais questões começaram a ser abordadas na Grã-Bretanha por telefonemas de agências governamentais de novas leis que obrigam os fabricantes a revelar a expectativa de vida útil dos dispositivos no momento da compra.
Brian Gorenc, diretor sênior de pesquisa de vulnerabilidade da Trend Micro e chefe da ZDI, disse ao The Register em um comunicado: “Os consumidores sempre devem garantir que seus dispositivos ainda sejam suportados pelos fabricantes. Eles também devem verificar o suporte disponível antes de comprar um dispositivo. Infelizmente, existem muitos exemplos de fornecedores que abandonam dispositivos que ainda são amplamente utilizados – às vezes até quando ainda estão disponíveis para compra. Esperamos que os fornecedores comuniquem claramente suas políticas de suporte e ciclo de vida para que os consumidores possam fazer escolhas instruídas “.
Hoje Netgear consultivo página para os patches mostra o estado de correção 45 dispositivos como ‘none; fora do período de suporte de segurança’. Reunimos os números de modelo desses dispositivos na lista abaixo:
- AC1450
- D6300
- DGN2200v1
- DGN2200M
- DGND3700v1
- LG2200D
- MBM621
- MBR1200
- MBR1515
- MBR1516
- MBR624GU
- MBRN3000
- MVBR1210C
- R4500
- R6200
- R6200v2
- R6300v1
- R7300DST
- WGR614v10
- WGR614v8
- WGR614v9
- WGT624v4
- WN2500RP
- WN2500RPv2
- WN3000RP
- WN3000RPv2
- WN3000RPv3
- WN3100RP
- WN3100RPv2
- WN3500RP
- WNCE3001
- WNCE3001v2
- WNDR3300v1
- WNDR3300v2
- WNDR3400v1
- WNDR3400v2
- WNDR3400v3
- WNDR3700v3
- WNDR4000
- WNDR4500
- WNDR4500v2
- WNR3500v1
- WNR3500Lv1
- WNR3500v2
- WNR834Bv2
O Register pediu à Netgear para comentar alguns dias atrás, mas no momento da publicação a empresa não havia nos enviado uma declaração.
FONTE: THE REGISTER