Mintegy 79 Netgear router típust érint egy nulladik napi sérülékenység

 

Súlyos biztonsági hibát találtak Netgear hálózati eszközökben, amelyek lehetővé tehetik a támadók számára, hogy átvegyék az irányítást az érintett eszközök felett. A sérülékenység a HTTPD daemon hibájából ered, ami nem ellenőrzi megfelelően a felhasználóktól érkező adatok méretét, a támadók számára lehetőséget adva puffertúlcsordulás előidézésére, ezáltal pedig hitelesítés nélküli kódfuttatásra. A sérülékenység által jelentett kockázat értékeléséhez figyelembe kell venni, hogy habár a HTTPD alapértelmezetten csak a LAN-on érhető el, ám egyrészt lehetséges olyan beállítás, hogy ez az Interneten keresztül is hozzáférhető legyen, másrészt reális veszélyt jelentenek a káros weboldalakkal végrehajtható , ún. DNS Rebinding támadások. A sérülékenységről részletes leírás itt található, az érintett ─ valamint potenciálisan érintett ─ típusok és firmware verziók listája pedig a GitHubon közzétett PoC-hez csatoltan, innen érhető el. A gyártó a BleepingComputer publikációjának közlésekor (2020. június 18.) még nem jelezte, hogy mikorra várható hibajavítás.

(bleepingcomputer.com)