上周五CERT/CC(美国计算机紧急事件响应小组协调中心)上周五发出安全公告,公告称NETGEAR R7000及R6400两款型号的路由器存在命令注入漏洞,并建议用户暂停使用这两款路由器,可能还有其他型号也受影响。

NS-CERT公告如下

Netgear R7000, 固件版本 1.0.7.2_1.1.93 以及更早期版本, R6400固件版本 1.0.1.6_1.0.4 以及更早期版本, 包含一个包含任意命令注入漏洞. 攻击者可能诱使用户访问巧尽心思构建的 web 站点,从而以根用户权限在受影响的路由器上执行任意命令.

这个漏洞已经证实在NETGEARR7000 和 R6400 型号中存在。社会报告还表明 R8000,固件版本 1.0.3.4_1.1.2,是易受伤害。其他型号也可能受到影响。

总得说来,即便采用最新版本固件,Netgear R700和R6400仍然可能被远程攻击者进行任意命令注入攻击。到目前为止,网件尚未发布修复补丁。

NETGEAR命令注入漏洞影响范围

Netgear R7000路由器,固件版本为1.0.7.2_1.1.93(可能包括更早版本);

Netgear R6400路由器,固件版本为1.0.1.6_1.0.4(可能包括更早版本);

CERT社区上报称,R8000,固件版本1.0.3.4_1.1.2也受影响;可能还有其他型号受到影响。

命令注入漏洞

采用以上版本的相应路由器包含了任意命令注入漏洞。被攻击者点击恶意构造的网站后,远程未授权攻击者就能以Root权限执行任意命令;局域网内的攻击者则可通过直接发出请求达成这一点,如访问:

http://<router_IP>/cgi-bin/;COMMAND

12月6日该漏洞poc被公布到 Exploit Database网站,有关该漏洞的PoC详情参见:

https://www.exploit-db.com/exploits/40889/

NETGEAR命令注入漏洞解决方案

目前尚无完善的解决方案,需要等待Netgear发布补丁。不过有一些缓解措施可以执行:

1.禁用web服务

http://<router_IP>/cgi-bin/;killall$IFS'httpd'

在执行这一步之后,除非重启,否则路由器的web管理操作就不可用了。

2.暂停使用

CERT还是强烈建议使用这些路由器的用户暂时不再再使用受影响的路由器,等待官方的修复补丁。

近期多起DDoS事件,都是Mirai物联网恶意软件利用视频监控系统、路由器的漏洞,其感染恶意程序,最终成为僵尸网络的一部分。最近名为BestBuy的黑客宣称,已经控制了320万台家用路由器,而且还将为这些路由器推送恶意固件更新。据说即便重启这些路由器也没用,僵尸网络大军依旧存在。前一阵 德国电信遭遇黑客攻击 ,90万台路由器下线也依旧余波未停。