Proof-of-Concept-Exploits für Schwachstellen in Netgears Router- und Extender-Satelliten der Orbi 750-Serie wurden veröffentlicht, mit einem Fehler, einem kritischen Fehler bei der Remote-Befehlsausführung.
Netgear Orbi ist ein beliebtes Netzwerk-Mesh-System für Heimanwender, das eine starke Abdeckung und einen hohen Durchsatz auf bis zu 40 gleichzeitig verbundenen Geräten auf Flächen zwischen 5.000 und 12.500 Quadratfuß bietet.
Die Fehler im System von Netgear wurden von der entdeckt Cisco Talos-Team und dem Anbieter am 30. August 2022 gemeldet. Cisco fordert Benutzer dringend auf, ihre Firmware auf die zu aktualisieren letzte Version4.6.14.3, veröffentlicht am 19. Januar 2023.
Die Orbi-Schwachstellen
Der erste und kritischste Fehler (CVSS v3.1: 9.1) wird als verfolgt CVE-2022-37337 und ist eine aus der Ferne ausnutzbare Schwachstelle bei der Befehlsausführung in der Zugriffskontrollfunktion des Netgear Orbi-Routers.
Ein Angreifer kann öffentlich zugängliche Verwaltungskonsolen ausnutzen, indem er eine speziell gestaltete HTTP-Anforderung an den anfälligen Router sendet, um beliebige Befehle auf dem Gerät auszuführen.
Das Talos-Team hat außerdem den folgenden Proof of Concept (PoC)-Exploit für den Fehler veröffentlicht:
Das zweite Problem, das von Ciscos Analysten entdeckt wurde, ist CVE-2022-38452, eine hochgradige Schwachstelle bei der Ausführung von Remote-Befehlen im Telnet-Dienst des Routers. Die Ausnutzung des Fehlers erfordert gültige Anmeldeinformationen und eine MAC-Adresse.
Dies ist der einzige der vier Fehler, den Netgears Januar-Firmware-Update nicht behoben hat, also bleibt er unfixiert. Allerdings hat Cisco auch dafür einen PoC-Exploit offengelegt.
Die dritte Schwachstelle ist CVE-2022-36429eine hochgradige Befehlsinjektion in die Backend-Kommunikationsfunktion des Netgear Orbi Satellite, die eine Verbindung zum Router herstellt, um die Netzwerkabdeckung zu erweitern.
Ein Angreifer kann diesen Fehler ausnutzen, indem er eine Sequenz speziell gestalteter JSON-Objekte an das Gerät sendet. Das Abrufen eines Admin-Tokens ist jedoch erforderlich, damit der Angriff funktioniert.
Schließlich entdeckten die Analysten von Cisco CVE-2022-38458ein Problem bei der Klartextübertragung, das sich auf die Fernverwaltungsfunktion des Netgear Orbi-Routers auswirkt und Man-in-the-Middle-Angriffe ermöglicht, die zur Offenlegung vertraulicher Informationen führen können.
Zum Zeitpunkt der Offenlegung waren Cisco keine Fälle bekannt, in denen die oben genannten Fehler aktiv ausgenutzt wurden. Angesichts der Verfügbarkeit eines PoC für CVE-2022-37337 könnten Bedrohungsakteure jedoch versuchen, falsch konfigurierte, öffentlich zugängliche Router zu finden, die sie ausnutzen können.
Die gute Nachricht ist, dass diese Exploits einen lokalen Zugriff, gültige Anmeldeinformationen oder die öffentliche Zugänglichkeit der Verwaltungskonsole erfordern, was es viel schwieriger macht, die Schwachstellen auszunutzen.
Allerdings ist eine schnelle Suche mit Schodan fanden fast 10.000 öffentlich über das Internet zugängliche Orbi-Geräte, von denen sich die meisten in den Vereinigten Staaten befinden. Wenn jemand die standardmäßigen Administratoranmeldeinformationen verwendet, könnten sie potenziell anfällig für Angreifer sein.
Während Orbi die automatische Installation von Updates unterstützt, wurde auf einem Orbi, der von BleepingComputer gesehen wurde, neue Firmware nicht automatisch installiert, und es wurde Software ausgeführt, die im August 2022 veröffentlicht wurde.
Daher sollten Besitzer von Netgear Orbi 750-Geräten manuell überprüfen, ob sie die neueste Version verwenden, und falls nicht, ihre Firmware so schnell wie möglich aktualisieren.
