En bref : Netgear a publié des mises à jour de firmware pour près d’une douzaine de routeurs après avoir découvert une vulnérabilité pouvant être exploitée pour l’exécution de code à distance. Pire encore, vous n’avez même pas besoin d’utiliser le logiciel associé pour devenir une victime.
Les avis de sécurité de Netgear indiquant que les modèles concernés incluent les modèles R6400v2, R6700, R6700v3, R6900, R6900P, R7000, R7000P, R7850, R7900, R8000 et RS400. Pour une identification correcte, vérifiez simplement l’autocollant à l’arrière ou au bas de votre routeur Netgear pour voir s’il correspond à l’un des modèles répertoriés ci-dessus.
Si votre modèle est impacté, rendez-vous simplement sur le site d’assistance de Netgear. Là, vous pouvez entrer votre numéro de modèle et télécharger le correctif approprié. Suivez les instructions des notes de version pour installer le micrologiciel mis à jour.
Selon cet article de blog de la société de sécurité Grimm, la vulnérabilité est liée à un logiciel de contrôle parental tiers appelé Circle, conçu à l’origine par Disney. Le logiciel optionnel, même s’il n’était pas utilisé, était pré-installé sur plusieurs routeurs Netgear. Comme l’explique Adam Nichols de Grimm :
Le processus de mise à jour du service de contrôle parental Circle sur divers routeurs Netgear permet aux attaquants distants ayant accès au réseau d’obtenir RCE en tant que root via une attaque Man-in-the-Middle (MitM). Alors que les contrôles parentaux eux-mêmes ne sont pas activés par défaut sur les routeurs, le démon de mise à jour Circle, encerclé, est activé par défaut.
Nichols a déclaré que le démon se connecte à Circle et Netgear pour obtenir des informations telles que la version et pour mettre à jour sa base de données de filtrage. Notamment, les mises à jour de la base de données de Netgear ne sont pas signées et sont téléchargées via HTTP au lieu du HTTPS plus sécurisé.
Cela signifie qu’un attaquant capable de mener une attaque MitM peut insérer un fichier de base de données spécialement conçu. Lorsque ce fichier est extrait, il peut donner à l’attaquant « la possibilité d’écraser les fichiers exécutables avec du code contrôlé par l’attaquant ».
Circle a abandonné son application MyCircle et son logiciel de gestion d’appareils mobiles Circle Go pour l’application Circle 1ère génération à la fin de l’année dernière, mais a déclaré que les changements ne s’appliquaient pas à ses produits Circle on Netgear.