Se você possui um desses 45 dispositivos Netgear, substitua-o: o fabricante do kit não corrige equipamentos vulneráveis, apesar do código de prova de conceito ao vivo

Views: 46
0 0
Read Time:2 Minute, 19 Second

A Netgear decidiu silenciosamente não corrigir mais de 40 roteadores domésticos para bloquear uma vulnerabilidade de execução remota de código – apesar dos pesquisadores de segurança terem publicado código de exploração de prova de conceito.

A vuln foi revelada publicamente em junho pela Zero Day Initiative (ZDI) da Trend Micro, depois de seis meses passando a Netgear nos bastidores para levar a sério.

Leitores de olhos atentos ao Reg , no entanto, notaram que a Netgear declarou silenciosamente 45 dos produtos afetados como “fora do período de suporte de segurança” – o que significa que esses itens não serão atualizados para protegê-los contra o vuln.

A Universidade Carnegie-Mellon dos EUA resumiu a vulnerabilidade em uma nota do Instituto de Engenharia de Software: “Vários dispositivos Netgear contêm um estouro de buffer de pilha no processamento do upgrade_check.cgi pelo servidor da web httpd, que pode permitir a execução remota de código não autenticada com privilégios de root”.

Atordoada pela pressão dos pesquisadores da infosec que chegaram à tona em junho quando a ZDI foi aberta, a Netgear começou a emitir patches. Ele havia classificado 28 das 79 linhas de produtos vulneráveis ​​até o final daquele mês.

A Gros, da Infosec, entrou em cena depois de descobrir de forma independente a vulnerabilidade, publicando explorações de prova de conceito para os dispositivos SOHO (Small Office / Home Office).

Com a revelação de hoje de que 45 itens em grande parte para consumidores e para PMEs nunca serão corrigidos, a Netgear enfrenta dúvidas sobre seu compromisso com as linhas de produtos mais antigas. Tais questões começaram a ser abordadas na Grã-Bretanha por telefonemas de agências governamentais de novas leis que obrigam os fabricantes a revelar a expectativa de vida útil dos dispositivos no momento da compra.

Brian Gorenc, diretor sênior de pesquisa de vulnerabilidade da Trend Micro e chefe da ZDI, disse ao The Register em um comunicado: “Os consumidores sempre devem garantir que seus dispositivos ainda sejam suportados pelos fabricantes. Eles também devem verificar o suporte disponível antes de comprar um dispositivo. Infelizmente, existem muitos exemplos de fornecedores que abandonam dispositivos que ainda são amplamente utilizados – às vezes até quando ainda estão disponíveis para compra. Esperamos que os fornecedores comuniquem claramente suas políticas de suporte e ciclo de vida para que os consumidores possam fazer escolhas instruídas “.

Hoje Netgear consultivo página para os patches mostra o estado de correção 45 dispositivos como ‘none; fora do período de suporte de segurança’. Reunimos os números de modelo desses dispositivos na lista abaixo:

  • AC1450
  • D6300
  • DGN2200v1
  • DGN2200M
  • DGND3700v1
  • LG2200D
  • MBM621
  • MBR1200
  • MBR1515
  • MBR1516
  • MBR624GU
  • MBRN3000
  • MVBR1210C
  • R4500
  • R6200
  • R6200v2
  • R6300v1
  • R7300DST
  • WGR614v10
  • WGR614v8
  • WGR614v9
  • WGT624v4
  • WN2500RP
  • WN2500RPv2
  • WN3000RP
  • WN3000RPv2
  • WN3000RPv3
  • WN3100RP
  • WN3100RPv2
  • WN3500RP
  • WNCE3001
  • WNCE3001v2
  • WNDR3300v1
  • WNDR3300v2
  • WNDR3400v1
  • WNDR3400v2
  • WNDR3400v3
  • WNDR3700v3
  • WNDR4000
  • WNDR4500
  • WNDR4500v2
  • WNR3500v1
  • WNR3500Lv1
  • WNR3500v2
  • WNR834Bv2

O Register pediu à Netgear para comentar alguns dias atrás, mas no momento da publicação a empresa não havia nos enviado uma declaração.

FONTE: THE REGISTER

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *