Netgear Yönlendiricilerinin Hacklenmesi – 5 Güvenlik Açığı İçin PoC Açıklandı

Mart ayında Zero Day Initiative (ZDI) “Pwn2Own” adlı bir yarışma düzenledi. Bu etkinlik sırasında NetGear yönlendiricileri de dahil olmak üzere çeşitli teknoloji markalarında çeşitli güvenlik açıkları keşfedildi.

Nesnelerin İnterneti (IoT) cihazlarını hedef alan tehditlerin artmasıyla birlikte, güvenlik önlemlerini artırmak için kapsamlı araştırmalar yürütülmektedir.

Yarışmaya katılan siber güvenlik çözümleri şirketi Claroty’nin ekibi82, NetGear RAX30 yönlendiricilerine odaklandı ve beş yüksek önem dereceli güvenlik açığı belirledi. Bu güvenlik açıkları, kötü niyetli aktörler tarafından istismar edilerek önceden kimliği doğrulanmış uzaktan kod yürütmelerine, komutları enjekte etmelerine veya kimlik doğrulamasını atlamasına olanak tanır.

Araştırma ekibi, yönlendiricinin API sunucuları olarak 5000 (HTTP) ve 5043 (HTTPS) bağlantı noktalarında çalışan soap_serverd adlı bir hizmete sahip olduğunu buldu.

Bu sunucular, yığın tabanlı bir arabellek taşması güvenlik açığına karşı savunmasız olduğu tespit edilen yönetim işleviyle ilgili SOAP mesajlarını işliyordu. Araştırma ekibi tarafından keşfedilen güvenlik açıkları aşağıda listelenmiştir:

Güvenlik Açığı Ayrıntıları:

Saldırgan, bu güvenlik açıklarını ağa bağlı akıllı cihazlara (güvenlik kameraları, termostatlar, akıllı kilitler) erişmek ve kontrol etmek, kimlik bilgileri veya DNS ayarları dahil olmak üzere yönlendirici ayarlarını değiştirmek veya diğer cihazlara veya ağlara saldırı başlatmak için güvenliği ihlal edilmiş bir ağı kullanmak için de kullanabilir.

CVE-2023-27357: NETGEAR RAX30 GetInfo Eksik Kimlik Doğrulama Bilgilerinin Açıklanması Güvenlik Açığı:

Bu güvenlik açığı, “GetInfo” komutu için kimlik doğrulamasının olmaması nedeniyle oluşur. Bu komuta verilen yanıt, model, seri numarası, güvenlik duvarı sürümü, VPN sürümü ve daha fazlası gibi cihaz bilgilerini içerir.

CVE-2023-27368: NETGEAR RAX30 soap_serverd Yığın Tabanlı Arabellek Taşması Kimlik Doğrulamasını Atlama Güvenlik Açığı:

Bu güvenlik açığı, soap_serverd hizmetinin veri uzunluğunu kontrol edememesinden kaynaklanır.

Hizmet önce HTTP başlıklarını okur ve yöntemi, yolu ve HTTP sürümünü çıkarmak için sscanf işlevini kullanır.

Uzunluk kontrolünün olmaması, yığın tabanlı arabellek taşması güvenlik açığı olasılığını ortaya çıkarsa da, 5000 numaralı bağlantı noktasındaki HTTP alma işlevi, HTTP başlığının uzunluğunu kontrol ederek istismar edilebilirliği sınırlandırır. Ancak, araştırma ekibi bu sınırlama için bir baypas keşfetti.

CVE-2023-27369: NETGEAR RAX30 soap_serverd Yığın Tabanlı Arabellek Taşması Kimlik Doğrulamasını Atlama Güvenlik Açığı:

Belirtildiği gibi soap_serverd hizmeti 5043 (HTTPS veya SSL) ve 5000 (HTTP) bağlantı noktalarında çalışır. Her iki bağlantı noktası da farklı soket okuma ve yazma işlevlerine sahiptir.

Önceki güvenlik açığına (CVE-2023-27368) bağlı, 5043 numaralı bağlantı noktası tarafından okunan SOAP mesajı, okunan bayt sayısını doğrulamada başarısız olan bir soket okuma işlevini çağırır.

Bu soket okuma işlevinden yararlanmak, bir tehdit aktörünün büyük miktarda veri göndererek yığın tabanlı bir arabellek taşmasına yol açan bir yığın taşmasını tetiklemesine olanak tanır.

CVE-2023-27370: Yönetici Parolasını Sıfırlamak için soap_serverd Kimlik Doğrulama Atlamayı Kullanma:

Yönlendirici kurulumu sırasında, kullanıcılardan kimlik doğrulama için benzersiz bir parola oluşturmaları ve unutkanlık durumunda parola kurtarma için güvenlik soruları belirlemeleri istenir.

Bu bilgi, cihaz konfigürasyonunda düz metin (base64) olarak saklanır. Saldırgan, yukarıda belirtilen üç güvenlik açığından yararlanarak kimlik doğrulamasını atlayabilir ve yönetici parolasını sıfırlamak için gerekli tüm bilgileri alan GetConfigInfo komutunu çalıştırabilir.

CVE-2023-27367: Sihirli Telnet ve Komut Enjeksiyonunu Kullanarak Uzaktan Kod Yürütmeye (RCE) Doğrulama Atlaması:

Varsayılan olarak, 23 numaralı bağlantı noktasındaki telnet hizmeti NetGear yönlendiricilerinde etkin değildir.

Ancak libcms_cli modülünde önceden keşfedilen bir güvenlik açığı, sistem çağrılarını yürütmeden önce kullanıcı tarafından sağlanan komutları doğrulayamıyor.

Araştırma ekibi, yönlendiricideki 23 numaralı bağlantı noktasını etkinleştirmek için bir “açık telnet-sihirli paket” kullandı, ancak Telnet arabirimi hala belirli komutlarla sınırlı.

TFTP komutunun yürütmeden önce filtrelenmediğini ve CVE-2023-27370’e bağlandığını buldular. Böylece, bu TFTP arabiriminden yararlanılabilir.

NETGEAR, bu güvenlik açıkları için güvenlik önerileri yayınladı ve müşterilerinden bu güvenlik açıklarını gidermek için RAX30 yönlendiricilerini yükseltmelerini istedi.

Güvenlik Düzeltme Eki’ni Sisteminize Uygulamakta Zorlanıyor Musunuz? –
All-in-One Patch Manager Plus’ı Deneyin