Vienas saugumo tyrėjas atrado rimtą saugumo spragą daugybėje skirtingų „Netgear“ maršrutizatorių, kuri leidžia programišiams pasisavinti administratoriaus slaptažodį. Tai reiškia, kad tūkstančiai maršrutizatorių, kurie populiarūs ir Lietuvoje, gali būti lengvai pažeidžiami.
Tyrėjas Simon Kenin saugumo spragą atrado visiškai netyčia – tingėdamas lipti iš lovos, kad nusileistų į pirmą savo namo aukštą ir iš naujo paleistų maršrutizatorių. Pabandęs įsilaužti į maršrutizatoriaus internetinę administratoriaus panelę, Simon nustebo, kad pakako nurodyti esą jis pamiršo prisijungimo slaptažodį ir šį netrukus gavo.
Minėta saugumo spraga jau buvo nustatyta 2014 m. kituose „Netgear“ modeliuose, kai siunčiant užklausą į maršrutizatoriaus valdymo programą vartotojas galėdavo lengvai gauti prisijungimo slaptažodžius.
„Bandant pasiekti tinklinę valdymo panelę, prašoma vartotojo autentifikacijos. Jei patvirtinimas yra atšaukiamas, o slaptažodžio atkūrimas nėra įjungtas, vartotojas nukreipiamas į puslapį, kuriame pateikiamas slaptažodžio atkūrimo „tokenas“. Vartotojui įvedus teisingą „tokeną“ puslapyje router/passwordrecovered.cgi, jis gauna maršrutizatoriaus administratoriaus slaptažodį“, – pasakoja Simon Kenin.
Šį kartą paaiškėjo, kad slaptažodį galima gauti nurodžius bet kokį „tokeną“ – tiesiog suvedus atsitiktinius parametrus. Tam tereikia naudotis tuo pačiu Wi-Fi tinklu. Tyrėjas taip pat nustatė, kad šia saugumo spraga programišiai gali pasinaudoti ir nuotoliniu būdu, jei maršrutizatoriuje yra įjungtas nuotolinis valdymas, kuris, „Netgear“ įrenginiuose pagal nutylėjimą būna išjungtas.
„Didžiausia grėsmė kyla tiems maršrutizatoriams, kuriuos galima pasiekti naudojantis viešu internetu, taip pat tiems, prie kurių jungiasi daugybė skirtingų vartotojų, pavyzdžiui, universitete“, – komentuoja ESET saugumo sprendimus platinančios įmonės „Baltimax“ pardavimų vadovas Deividas Pelenis.
Savo ruožtu „Netgear“ rekomenduoja vartotojams patikrinti, ar jų maršrutizatorių aparatinė programinė įranga yra atnaujinta. Pasak saugumo tyrėjo, saugumo spragas turi ši maršrutizatorių įranga, jei ji nebuvo laiku atnaujinta:
AC1450 V1.0.0.34_10.0.16 (naujausia)
AC1450 V1.0.0.22_1.0.10
AC1450 V1.0.0.14_1.0.6
D6400 V1.0.0.44_1.0.44
D6400 V1.0.0.34_1.3.34
D6400 V1.0.0.38_1.1.38
D6400 V1.0.0.22_1.0.22
DC112A V1.0.0.30_1.0.60 (naujausia)
DGN2200v4 V1.0.0.24_5.0.8
JNDR3000 V1.0.0.18_1.0.16 (naujausia)
R6200 V1.0.1.48_1.0.37
R6200v2 V1.0.1.20_1.0.18
R6250 V1.0.1.84_1.0.78
R6300 V1.0.2.78_1.0.58 (naujausia)
R6300v2 V1.0.4.2_10.0.74
R6300v2 V1.0.3.30_10.0.73
R6700 V1.0.1.14_10.0.29 (naujausia beta)
R6700 V1.0.0.26_10.0.26 (naujausia stabili versija)
R6700 V1.0.0.24_10.0.18
R6900 V1.0.0.4_1.0.10 (naujausia)
R7000 V1.0.6.28_1.1.83
R8300 V1.0.2.48_1.0.52
R8500 V1.0.2.30_1.0.43
R8500 V1.0.2.26_1.0.41
R8500 V1.0.0.56_1.0.28
R8500 V1.0.0.20_1.0.11
VEGN2610 V1.0.0.35_1.0.35 (naujausia)
VEGN2610 V1.0.0.29_1.0.29
VEGN2610 V1.0.0.27_1.0.27
WNDR3400v2 V1.0.0.16_1.0.34
WNDR3400v3 V1.0.0.22_1.0.29
WNDR3700v3 V1.0.0.38_1.0.31 (naujausia)
WNDR4000 V1.0.2.4_9.1.86 (naujausia)
WNDR4500 V1.0.1.40_1.0.68 (naujausia)
WNDR4500v2 V1.0.0.60_1.0.38 (naujausia)
WNDR4500v2 V1.0.0.42_1.0.25
WGR614v10 V1.0.2.60_60.0.85NA (naujausia)
WGR614v10 V1.0.2.58_60.0.84NA
WGR614v10 V1.0.2.54_60.0.82NA
WN3100RP V1.0.0.14_1.0.19 (naujausia)
WN3100RP V1.0.0.6_1.0.12
Lenovo R3220 V1.0.0.16_1.0.16 (naujausia)
Lenovo R3220 V1.0.0.13_1.0.13