Netgear deixa as vulnerabilidades sem corrigir o roteador Nighthawk

Fonte: Netgear

Os pesquisadores encontraram meia dúzia de vulnerabilidades de alto risco na versão de firmware mais recente para o roteador Netgear Nighthawk R6700v3. Os defeitos permanecem sem solução no momento da publicação.

Nighthawk R6700 é um popular roteador WiFi de banco duplo anunciado com recursos focados em jogos, controles parentais inteligentes e hardware interno poderoso o suficiente para atender às necessidades dos usuários domésticos.

As seis falhas foram descobertas por pesquisadores da empresa de segurança cibernética Tenable e podem permitir que um invasor na rede assuma o controle total do dispositivo:

  • CVE-2021-20173 – Uma falha de entrada de comando pós-autenticação na funcionalidade de atualização do dispositivo, o que o torna suscetível à entrada de comando.
  • CVE-2021-20174 : O HTTP é usado por padrão para todas as comunicações da interface web do dispositivo, com o risco de interceptar o nome de usuário e a senha em texto não criptografado.
  • CVE-2021-20175 : A interface SOAP (porta 5000) usa HTTP para se comunicar por padrão, com o risco de interceptar o nome de usuário e a senha em um formato não criptografado.
  • CVE-2021-23147 : Execute o comando como root sem autenticação via conexão de porta UART. Explorar essa falha requer acesso físico ao dispositivo.
  • CVE-2021-45732 – Alteração de configuração por meio de rotinas de criptografia embaralhadas, permitindo alterar configurações bloqueadas por motivos de segurança.
  • CVE-2021-45077 : Todos os nomes de usuário e senhas dos serviços do dispositivo são armazenados em formato de texto no arquivo de configuração.

Além dos problemas de segurança mencionados acima, a Tenable encontrou várias instâncias de bibliotecas jQuery baseadas na versão 1.4.2, que são conhecidas por conter vulnerabilidades. Os pesquisadores também apontam que o dispositivo que usa um MiniDLNA é uma versão de servidor com falhas conhecidas publicamente.

Solicitação POST forçando uma verificação de atualização para aproveitar o CVE-2021-20173
Fonte: Tenable

As falhas recém-reveladas afetam a versão de firmware 1.0.4.120, que é a versão mais recente do dispositivo.

Os usuários são aconselhados a alterar as credenciais padrão para algo único e forte e seguir as práticas recomendadas de segurança para uma defesa mais forte contra infecções por malware.

Além disso, verifique o Portal de download de firmware da Netgear regularmente e instale novas versões assim que estiverem disponíveis. Também é recomendado que você ative as atualizações automáticas em seu roteador.

O aviso de segurança atual é para o Netgear R6700 v3, que ainda é suportado, não para o Netgear R6700 v1 e R6700 v2, que chegaram ao fim da vida útil. Se você ainda estiver usando modelos mais antigos, recomendamos que você os atualize.

A Tenable divulgou os problemas acima ao vendedor em 30 de setembro de 2021 e, embora tenha ocorrido uma troca de informações na forma de esclarecimentos e sugestões posteriormente, os problemas permanecem sem solução.

Entramos em contato com a Netgear para comentar o que foi dito acima e adicionaremos uma atualização a esta história assim que tivermos notícias deles.

  • As melhores pulseiras do Apple Watch de 2021
  • Qual é o melhor protocolo VPN? OpenVPN versus WireGuard versus SSTP e mais

descubra mais conteúdo

O que é um amplificador integrado?

Google Pixel Watch também tem detecção de queda, mas não até o próximo ano

As melhores xícaras de café aquecidas de 2022

Como automatizar seu iPhone com base na hora, atividade ou localização

"Isso deve ter sido antes do meu tempo"

Por que a NASA enviou Snoopy para a Lua? – Revisão geek

Ir arriba