Netgear, fournisseur de solutions de réseau, de stockage et de sécurité, a publié vendredi des correctifs pour remédier à trois vulnérabilités de sécurité affectant ses commutateurs intelligents. Ces vulnérabilités peuvent être utilisées par un adversaire pour prendre le contrôle total d'un appareil vulnérable.

Les failles, découvertes et signalées à Netgear par Gynvael Coldwind, ingénieur en sécurité chez Google, impactent plusieurs modèles listés dans le bulletin suivant.

Les trois vulnérabilités ont reçu les pseudonymes Demon's Cries (score CVSS : 9,8), Draconian Fear (score CVSS : 7,8) et Seventh Inferno ( « D'autres détails sur Seventh Inferno seront publiés le 13 septembre ou après. »).

Selon Coldwind, les failles concernent un contournement de l'authentification, un détournement de l'authentification et une troisième vulnérabilité non encore divulguée qui pourrait permettre à un attaquant de modifier le mot de passe de l'administrateur sans avoir à connaître le mot de passe précédent ou de détourner les informations de démarrage de la session, ce qui entraînerait une compromission totale du dispositif.

Cependant, afin d’exploiter la faille, un attaquant distant aurait besoin de l'aide d'un utilisateur sur le réseau, par exemple, en accédant à un site web avec un code malveillant exécuté par le navigateur web pour cibler le commutateur vulnérable.

Face à la nature critique des vulnérabilités, il est recommandé aux entreprises qui utilisent les commutateurs Netgear concernés de passer à la dernière version dès que possible afin d'atténuer tout risque d'exploitation.