Trustwave har oppdaget et par alvorlige feil i ikke mindre enn 31 forskjellige modeller av Netgear-rutere, og følger nøye på hælene til et farlig sårbarhet som påvirker andre Netgear-produkter som ble publisert i forrige måned.

Denne gangen ble problemene funnet av en sikkerhetsforsker hos Trustwave, Simon Kenin, som rote rundt med Netgear-routeren og prøvde å hacke den via webgrensesnittet, eksperimentere med å "manuelt fuzzing" webserveren med forskjellige parametere.

Dette førte til at han oppdaget feilene som kan utnyttes lokalt av en angriper med fysisk tilgang til nettverket / ruteren - men det er også viktig at den også kan håndteres eksternt, hvis fjernadministrasjon er slått på og satt til å være Internett-vendt (som, heldigvis er det ikke som standard).

Hvor alvorlig er feilene? Ganske alvorlig, da de tillater et ondsinnet parti å finne ut passordet til ruteren (eller bare omgå det) for å få full kontroll over maskinvaren - noe som betyr at det er en tydelig mulighet for at ruteren kan bli ledet inn i raden av en botnet ( og deretter brukt i lignende DDoS-angrep).

Ifølge Trustwave er det funnet mer enn 10.000 sårbare enheter som kan nås eksternt og utnyttes - men det totale antallet rutere der ute som potensielt kan bli påvirket, er sannsynligvis i hundretusener, og kan til og med være over en million enheter. Bekymrende tall faktisk.

Så det var ikke en god slutt i fjor for Netgear, og det har heller ikke vært en god start til 2017 heller.

Langsom respons

Netgear ble tilsynelatende informert om disse potensielle utbyttene tilbake i april i fjor, og Trustwave fortsatte å bøye ruterenprodusenten flere ganger de siste ni månedene om å fikse disse hullene.

Heldigvis reagerte Netgear til sikkerhetsselskapet like før Trustwave var i ferd med å offentliggjøre sine resultater - og det var et positivt svar fra alle kontoer.

I hans blogginnlegg bemerker Kenin at Netgear var forpliktet til å få fersk firmware ut til upakket og berørt rutere på en "aggressiv tidslinje".

Han observert også: “Netgear var ikke bare seriøs om å patching disse sikkerhetsproblemene, men seriøst om å endre hvordan de håndterer tredjepartsopplysning generelt ... [gjør en] forpliktelse til Bugcrowd, en populær tredjepartsleverandør som bidrar til å undersøke veterinærforskningen, gir tilsyn med patchingprosessen og gir bugbelønningsbelønninger for å bidra til å motivere tredjepartsforskere.”

Så hva skal du gjøre hvis du har en Netgear-router? Trustwave anbefaler deg å sjekke her for å se om ruteren din er sårbar, og for å få detaljer om hvordan du installerer oppdatert firmware hvis det er tilfelle.

  • Vil din PC være sikker? Deretter får du det beste antivirusprogrammet