Recientemente fueron abordadas en actualizaciones de seguridad 15 vulnerabilidades de riesgo crítico que afectan a diversos productos de Netgear con versiones de firmware vulnerable. La explotación exitosa de estos fallos permitiría a un atacante inyectar comandos arbitrarios, omitir la autenticación y obtener información confidencial.
En el siguiente cuadro se detallan las 15 vulnerabilidades críticas, agrupadas por el identificador asignado por Netgear, productos afectados y versiones de firmware vulnerables:
A continuación se detalla el impacto de cada una de las vulnerabilidades identificadas:
Los fallos identificados como PSV-2020-0027, PSV-2019-0109 y PSV-2020-0028 permitirían a un atacante adyacente a la red, omitir la autenticación.
Por otro lado, el PSV-2020-0377 trata de una falla de control de acceso de nivel de función que permitiría a un atacante adyacente a la red acceder a información confidencial o funcionalidades destinadas a usuarios autorizados.
Mientras que los PSV-2020-0264, PSV-2020-0041 permitirían a un atacante adyacente a la red inyectar comandos arbitrarios antes de la autenticación.
Por contraparte, los fallos PSV-2020-0048, PSV-2020-0047, PSV-2020-0046, PSV-2020-0045, PSV-2020-0043 y PSV-2020-0032 podrían permitir a un atacante adyacente a la red obtener acceso a las credenciales del usuario administrador.
Los PSV-2020-0036 y PSV-2020-0030, permitirían a un atacante adyacente la red obtener acceso a información confidencial de los sistemas afectados.
Finalmente, el PSV-2019-0267 podría permitir a un atacante adyacente a la red obtener acceso no autorizado a datos del sistema o funcionalidades debido a una configuración errónea de seguridad.
Recomendaciones:
Actualizar el firmware de los productos afectados a la última versión disponible, siguiendo estos pasos:
- Ingrese a la página de soporte oficial de Netgear,
- Escriba el modelo del producto afectado en el buscador y selecciónelo.
- Una vez visualice el modelo del producto afectado:
- Haga clic en Downloads o Descargas,
- En el apartado Versiones Actuales, seleccione aquel que tenga como título Versión de Firmware,
- Haga clic en Descargar,
- Descomprima el archivo descargado,
- Ingrese su nombre de usuario y contraseña de administrador,
- Seleccione ADVANCED > Administration or Settings > Administration,
- Seleccione Firmware Update o Router Update.
- Haga clic en Choose File o Browse y busque el archivo del firmware con la extensión .imk o .chk,
- Finalmente haga clic en el botón Upload.
Referencias:
- https://kb.netgear.com/000062324/Security-Advisory-for-Authentication-Bypass-on-Some-WiFi-Systems-PSV-2020-0027
- https://kb.netgear.com/000062325/Security-Advisory-for-Authentication-Bypass-on-Some-Routers-PSV-2019-0109
- https://kb.netgear.com/000062326/Security-Advisory-for-Authentication-Bypass-on-Some-WiFi-Systems-PSV-2020-0028
- https://kb.netgear.com/000062334/Security-Advisory-for-Missing-Function-Level-Access-Control-on-JGS516PE-PSV-2020-0377
- https://kb.netgear.com/000062347/Security-Advisory-for-Pre-Authentication-Command-Injection-on-Some-WiFi-Systems-PSV-2020-0264
- https://kb.netgear.com/000062348/Security-Advisory-for-Admin-Credential-Disclosure-on-Some-WiFi-Systems-PSV-2020-0048
- https://kb.netgear.com/000062349/Security-Advisory-for-Admin-Credential-Disclosure-on-Some-WiFi-Systems-PSV-2020-0047
- https://kb.netgear.com/000062350/Security-Advisory-for-Admin-Credential-Disclosure-on-Some-WiFi-Systems-PSV-2020-0046
- https://kb.netgear.com/000062351/Security-Advisory-for-Admin-Credential-Disclosure-on-Some-WiFi-Systems-PSV-2020-0043
- https://kb.netgear.com/000062353/Security-Advisory-for-Sensitive-Information-Disclosure-on-Some-WiFi-Systems-PSV-2020-0036
- https://kb.netgear.com/000062352/Security-Advisory-for-Pre-Authentication-Command-Injection-on-Some-WiFi-Systems-PSV-2020-0041
- https://kb.netgear.com/000062354/Security-Advisory-for-Admin-Credential-Disclosure-on-Some-WiFi-Systems-PSV-2020-0032
- https://kb.netgear.com/000062355/Security-Advisory-for-Sensitive-Information-Disclosure-on-Some-WiFi-Systems-PSV-2020-0030
- https://kb.netgear.com/000062356/Security-Advisory-for-Security-Misconfiguration-on-RAX40-PSV-2019-0267
- https://kb.netgear.com/000062357/Security-Advisory-for-Admin-Credential-Disclosure-on-Some-WiFi-Systems-PSV-2020-0045