Netgear’ın Orbi 750 serisi yönlendirici ve genişletici uydularındaki güvenlik açıkları için kavram kanıtı istismarları yayınlandı ve bir kusur, kritik önemde bir uzaktan komut yürütme hatasıyla birlikte.
Netgear Orbi, ev kullanıcıları için popüler bir ağ ağı sistemidir ve 5.000 ila 12.500 fit karelik alanlarda aynı anda bağlı 40 adede kadar cihazda güçlü kapsama alanı ve yüksek verim sağlar.
Netgear’ın sistemindeki kusurlar, Cisco Talos ekibi tarafından keşfedildi ve 30 Ağustos 2022’de satıcıya bildirildi. Cisco, kullanıcıları ürün yazılımlarını 19 Ocak 2023’te yayınlanan en son sürüm olan 4.6.14.3’e güncellemeye teşvik ediyor.
Orbi güvenlik açıkları
İlk ve en kritik (CVSS v3.1: 9.1) kusur, CVE-2022-37337 olarak izlenir ve Netgear Orbi yönlendiricisinin erişim kontrol işlevinde uzaktan yararlanılabilen bir komut yürütme güvenlik açığıdır.
Saldırgan, güvenlik açığı bulunan yönlendiriciye cihazda rasgele komutlar yürütmek için özel hazırlanmış bir HTTP isteği göndererek herkesin erişebileceği yönetici konsollarından yararlanabilir.
Talos ekibi ayrıca kusur için aşağıdaki kavram kanıtı (PoC) istismarını yayınladı:
Cisco analistleri tarafından keşfedilen ikinci sorun, yönlendiricinin telnet hizmetinde yüksek önem derecesine sahip bir uzaktan komut yürütme güvenlik açığı olan CVE-2022-38452’dir. Açıktan yararlanmak, geçerli kimlik bilgileri ve bir MAC adresi gerektirir.
Bu, Netgear’ın Ocak üretici yazılımı güncellemesinin ele almadığı dört kusurdan yalnızca biridir, dolayısıyla düzeltilmemiş olarak kalır. Ancak Cisco, bunun için de bir PoC istismarını açıkladı.
Üçüncü güvenlik açığı, ağ kapsamını genişletmek için yönlendiriciye bağlanan Netgear Orbi Satellite’ın arka uç iletişim işlevinde yüksek öneme sahip bir komut enjeksiyonu olan CVE-2022-36429’dur.
Bir saldırgan, cihaza bir dizi özel hazırlanmış JSON nesnesi göndererek bu kusurdan yararlanabilir. Ancak, saldırının çalışması için bir yönetici belirteci alınması gerekir.
Son olarak, Cisco’nun analistleri, Netgear Orbi yönlendiricisinin Uzaktan Yönetim işlevselliğini etkileyen ve hassas bilgilerin ifşasına yol açabilecek ortadaki adam saldırılarına olanak tanıyan bir açık metin iletim sorunu olan CVE-2022-38458’i keşfetti.
Açıklama sırasında Cisco, yukarıdaki kusurların aktif olarak kullanıldığı herhangi bir vakadan haberdar değildi. Bununla birlikte, CVE-2022-37337 için bir PoC’nin kullanılabilirliği göz önüne alındığında, tehdit aktörleri, istismar etmek için yanlış yapılandırılmış, herkesin erişebileceği yönlendiriciler bulmaya çalışabilir.
İyi haber şu ki, bu açıklardan yararlanmalar yerel erişim, geçerli oturum açma kimlik bilgileri veya yönetici konsolunun herkesin erişimine açık olmasını gerektiriyor ve bu da güvenlik açıklarından yararlanmayı çok daha zorlaştırıyor.
Bununla birlikte, Shodan kullanılarak yapılan hızlı bir arama, çoğunluğu Amerika Birleşik Devletleri’nde bulunan ve İnternet’ten herkesin erişebildiği yaklaşık 10.000 Orbi cihazı buldu. Herhangi biri varsayılan yönetici kimlik bilgilerini kullanırsa, potansiyel olarak saldırganlara karşı savunmasız olabilir.
Orbi, güncellemelerin otomatik olarak yüklenmesini desteklese de, BleepingComputer tarafından görülen bir Orbi’de yeni üretici yazılımı otomatik olarak yüklenmedi ve Ağustos 2022’de yayınlanan bir yazılımı çalıştırıyordu.
Bu nedenle, Netgear Orbi 750 cihazlarının sahipleri, en son sürümü çalıştırıp çalıştırmadıklarını manuel olarak kontrol etmeli ve çalıştırmıyorlarsa, ürün yazılımlarını mümkün olan en kısa sürede yükseltmelidir.