Cyberbezpieczeństwo
Krytyczne podatności w routerze Netgear. Poprawek nie będzie
Wykryto sześć podatności w routerze od Netgear. Tenable zakwalifikowało wszystkie z nich jako krytyczne. Najlepszym rozwiązaniem jest wymiana urządzenia na inny model.
Luki bezpieczeństwa dotyczą routera Netgear WNR614 JNR1010V2 N300 w wersji firmware’u V1.1.0.54_1.0.1. Oliwy do ognia dolewa to, że trzy lata temu urządzenie przestało być wspierane przez producenta – osiągnęło tzw. End of Service (EOS). Oznacza to, że najprawdopodobniej nie zostaną wydane żadne poprawki bezpieczeństwa.
Podatności i ich skutki
Raport Red Fox Security wymienia sześć krytycznych podatności. Jedna z nich (CVE-2024-36787) pozwala m.in. na uzyskanie dostępu do hasła panelu administratora. Samo hasło przechowywane jest w Base64, przez co odkodowanie go jest banalnie proste.
Ciekawą luką bezpieczeństwa jest fakt, że można ustawić jednoznakowe hasło administratora (CVE-2024-36789).
Czytaj też
Wykryto również, że router przechowuje wrażliwe informacje w formie tekstowej (tzw. cleartext). Podatności nadano ID CVE-2024-36790.
Wśród pozostałych luk bezpieczeństwa należy wymienić: ciasteczka bez flagi HTTPOnly (CVE-2024-36788), ataki z wykorzystaniem PIN-u WPS (CVE-2024-36792) i nieuprawniony dostęp do danych (CVE-2024-36795).
Czytaj też
Rekomendacje bezpieczeństwa
W przypadku niewspieranego sprzętu najlepszym rozwiązaniem jest wymiana urządzenia na nowe. Jeżeli pojawi się publiczny exploit jesteśmy zagrożeni realnym atakiem ze strony cyberprzestępców.
Ostatnio podobna sytuacja miała miejsce w serwerach NAS od D-Link. Wykryto wówczas możliwość zdalnego wykonania kodu (RCE) w 20 modelach urządzeń, które utraciły wsparcie techniczne. Przeprowadzenie ataku nie należy do skomplikowanych.
Czytaj też
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
Haertle: Każdego da się zhakować
Materiał sponsorowany