В устройствах Netgear выявлена уязвимость, позволяющая без прохождения аутентификации добиться выполнения своего кода с правами root через манипуляции во внешней сети на стороне WAN-интерфейса. Наличие уязвимости подтверждено в беспроводных маршрутизаторах R6900P, R7000P, R7960P и R8000P, а также в сетевых устройствах для развёртывания mesh-сетей MR60 и MS60. Компания Netgear уже выпустила обновление прошивки с устранением уязвимости.
Уязвимость вызвана переполнением стека в фоновом процессе aws_json (/tmp/media/nand/router-analytics/aws_json) при разборе данных в формате JSON, полученных после отправки запроса к внешнему web-сервису (https://devicelocation.ngxcld.com/device-location/resolve), используемому для определения местоположения устройства. Для совершения атаки необходимо разместить специально оформленный файл в формате JSON на своём web-сервере и добиться загрузки маршрутизатором этого файла, например, через подмену DNS или перенаправления запроса на транзитном узле (необходимо перехватить запрос к хосту devicelocation.ngxcld.com, осуществляемый при запуске устройства). Запрос отправляется по протоколу HTTPS, но без проверки корректности сертификата (при загрузке используется утилита curl с опцией "-k").
С практической стороны, уязвимость можно использовать для компрометации устройства, например, встраивания бэкдора для последующего контроля над внутренней сетью предприятия. Для атаки необходимо получить кратковременный доступ к маршрутизатору Netgear или к сетевому кабелю/оборудованию на стороне WAN-интерфейса (например, атака может быть совершена провайдером или злоумышленником, получившему доступ к коммуникационному щиту). В качестве демонстрации исследователями на базе платы Raspberry Pi подготовлен прототип устройства для атаки, позволяющий получить root shell при подключении WAN-интерфейса уязвимого маршрутизатора к ethernet-порту платы.