Netgear a publié des correctifs pour remédier à une nouvelle vulnérabilité de haute gravité (score : 8.1) affectant plusieurs routeurs. La vulnérabilité, répertoriée CVE-2021-40847, d’exécution de code à distance pourrait être exploitée par des attaquants distants pour prendre le contrôle d'un système affecté.

Les modèles affectés sont les suivants :

• R6400v2 (corrigée dans la version 1.0.4.120 du firmware).
• R6700 (corrigée dans la version 1.0.2.26 du firmware).
• R6700v3 (corrigée dans la version 1.0.4.120 du firmware).
• R6900 (fixe dans la version 1.0.2.26 du firmware).
• R6900P (fixe dans la version 3.3.142_HOTFIX du firmware).
• R7000 (réparé dans la version 1.0.11.128 du micrologiciel).
• R7000P (fixe dans la version 1.3.3.142_HOTFIX du firmware).
• R7850 (fixe dans la version 1.0.5.76 du firmware).
• R7900 (fixe dans la version 1.0.4.46 du micrologiciel).
• R8000 (corrigé dans la version 1.0.4.76 du micrologiciel).
• RS400 (corrigé dans le firmware version 1.5.1.80).

Selon Adam Nichols, chercheur en sécurité chez GRIMM, la vulnérabilité réside dans Circle, un composant tiers inclus dans le firmware qui offre des fonctions de contrôle parental. Le démon de mise à jour Circle est activé par défaut, même si le routeur n'a pas été configuré pour limiter le temps d'accès quotidien à Internet pour les sites Web et les applications. Il en résulte un scénario qui pourrait permettre à de mauvais acteurs, ayant accès au réseau, d'obtenir l'exécution de code à distance (RCE) en tant que root via une attaque de type Man-in-the-Middle (MitM).

Cette faille existe à cause de la manière dont le démon de mise à jour (appelé "circled") se connecte à Circle et Netgear pour récupérer les mises à jour de la base de données de filtrage qui sont toutes deux non signées et téléchargées via http. Cela permet à un intrus d'organiser une attaque MitM et de répondre à la demande de mise à jour avec un fichier de base de données compressé spécialement conçu, dont l'extraction donne à l'attaquant la possibilité d'écraser les binaires exécutables avec du code malveillant.

"Puisque ce code est exécuté en tant que root sur les routeurs concernés, son exploitation pour obtenir un RCE est tout aussi dommageable qu'une vulnérabilité RCE trouvée dans le firmware de base de Netgear", a déclaré Nichols. "Cette vulnérabilité particulière démontre une fois de plus l'importance de la réduction de la surface d'attaque"