В устройствах Netgear выявлена уязвимость, позволяющая без прохождения аутентификации добиться выполнения своего кода с правами root через манипуляции во внешней сети на стороне WAN-интерфейса. Наличие уязвимости подтверждено в беспроводных маршрутизаторах R6900P, R7000P, R7960P и R8000P, а также в сетевых устройствах для развёртывания mesh-сетей MR60 и MS60. Компания Netgear уже выпустила обновление прошивки с устранением уязвимости...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=58112
router-analytics/aws_json
Это просто прекрасно.
> Уязвимость ... в фоновом процессе aws_json ... при разборе данных в формате JSON, полученных после отправки запроса к внешнему web-сервису, используемому для определения местоположения устройстваА кто-нибудь может объяснить, зачем это на роутере?!
Ну наверно потому что модно и негласно. Никакими протоколами маршрутизации этого не предусмотрено и должно быть отключено еще до подключения.
— бабушка-бабушка, а зачем у тебя такая большая аналитика?
— а это чтобы лучше тебя обслуживать, внучка!
Это не дыра а технологическое отверстие в аналитике, между прочим. Странно что инженерный пароль не забыли в очередной раз.
Не забыли. Всё что надо - на месте.
> полученных после отправки запроса к внешнему web-сервису [...] используемому для определения местоположения устройства.Хм-м-м, а зачем им в принципе географическое положение устройства знать нужно? Админы, объясните?
Что бы выслать карательный^W спасательный отряд, когда обращение в поддержку содержит: "ничего не работает", "нету интернета", "раньше не нужно было перезагружать".
А в ответ прибудет такая-же железяка, который не понимает человеческий язык пострадавшего, а только бинарный. )
Аналитический отряд стелс-пихоты же.
Например чтобы без запроса у админа, по IP выставлять в устройстве правильное время и часовой пояс.
Или язык интерфейса. Но это дичь такое реализовать.
Я бы еще предложил так активировать-деактивировать роутеры привязанные по странам. Что-то вроде "только для Китая", "только для Индии", "только для ЕС".
Но вроде пока-что такого не припомню, либо сам не сталкивался еще.
Это даже не предположение а замаскированный под моду вектор атаки.
> по IP выставлять в устройстве правильное времяЭто же полный бред. Вот у меня сейчас geoip ошибается на неск-ко часовых поясов.
Потому, что твой картофельный провайдер держит тебя за дурака^W NAT. Попросись в настоящий Интернет, что ли.
Это кто ж картофельный NETGEAR в настоящий интернет пустит? За нат-ом ему самое место.
в альтернативной прошивке FreshTomato отправка геоданных(можно отключить) сделана для статистики в каких странах сколько установок
>Хм-м-м, а зачем им в принципе географическое положение устройства знать нужно? Админы, объясните?Чтобы нарушители санкций не могли продавать эти роутеры в Иран, Северную Корею, и какие-то там ещё страны.
>используемому для определения местоположения устройствлолшто? Это похуже уязвимости, для которой нужно еще жертве устроить подмену днс на WAN интерфейсе.
Зато не потеряешь свой роутер, всегда на карте его последнее местоположение можно глянуть =)
Круто, а то постоянно теряю то флешки, то роутеры.
Помнится были истории как люди сервера теряли в стенах, а потом находили через годы.Так что в каждой шутке есть доля шутки.
ага, и уже тогда была негласная геолокация и интернет службы ее поддерживающие. Или нетгировцы настолько прозорливые в отношение склероза персонала? )
AS/400 так потерять можно, а вот для Netgear это фантастика.
> по протоколу HTTPS, но без проверки корректности сертификатаHTTPS курильщика.
Забавно, когда сетевые компании кладут такой огромный болт на безопасность и не проверяют сертификаты. Совсем никакого контроля качества. А ведь банальная привязка к известным сертификатам серьезно снижает опасность подобных атак.
Все у них в порядке с безопасностью. Просто нужно понимать, что они заботятся не о вашей безопасности, а о безопасности своих доходов. Но в каждой новости находится чудо, которое недоумевает - как же так?! :)
> Все у них в порядке с безопасностью. Просто нужно понимать, что они
> заботятся не о вашей безопасности, а о безопасности своих доходов. Но
> в каждой новости находится чудо, которое недоумевает - как же так?!
> :)Одно с другим связано - меньше безопасность => меньше доходы. Это ж логично :)
Да ладно, меньше. Почти вся ЦА о том, что там проблема, не узнает в принципе.
> Одно с другим связано - меньше безопасность => меньше доходы. Это ж
> логично :)охлол. эту самую «безопасность» совершенно не надо реализовывать, достаточно просто декларировать. лецэнкрипт вон так и сделали — и все схавали, каждый месяц добавки просят.
А кто не успеет попросить вовремя - ну и сидит без своего сайтика, пока не одумаетсо.(Но просто декларировать, разумеется, не, недостаточно. Если бы вредители из startssl и китайцы продолжали нагло раздавать аж годичной годности сертификаты забесплатно, мы бы так не взлетели. Пришлось их немного того... как небезопастных и мешающих всеобщему щастью.)
> А кто не успеет попросить вовремя - ну и сидит без своего
> сайтика, пока не одумаетсо.да не в этом проблема, в принципе. лецэнкрипт сделал штуку намного хуже: он сломал единственную вещь, которая в ssl/tls была хоть отдалённо похожа на секурити — возможность проверить фингерпринт сертификата вручную, получив его по стороннему каналу. потому что никто не будет бегать каждый месяц за новыми фингерпринтами. а это был единственный метод удостовериться, что сайт не обманка (корневикам потому что никакой веры нет).
и что характерно — за эту диверсию народ превозносит лецэнкрипт как «улучшателей безопасности интернетов». это, в принципе, всё, что имеет смысл знать о современном состоянии «секурити».
> возможность проверить фингерпринт сертификата вручную, получив его по стороннему каналу.или хотя бы просто заранее, как мы это делаем с тем же ssh.
(никто в здравом уме конечно не разглядывает его веселые картинки, да и не выводит он их "почему-то" именно там где они могли бы быть нужны, и тем более не сравнивает никто ключи вручную. Но если ключ вчера был другой - настораживаемся. И да, это прекрасно работает.)> и что характерно — за эту диверсию народ превозносит лецэнкрипт как «улучшателей безопасности
> интернетов»ведь вынипанимаити - ключ могли украсть низаметным образом! (поэтому мы его сделаем еще более незаметным, постоянно меняя ключи и даты)
чем от этого поможет истеричный перевыпуск каждые две минуты, если ты даже закрытый ключ не уберег - учоные спорят.
И да, pkp туда же. Тоже "ради вашей безопасТности!"
> чем от этого поможет истеричный перевыпуск каждые две минуты, если ты даже
> закрытый ключ не уберег - учоные спорят.зато отлично поможет подсунуть митм. ради чего всё и затевалось.
а какого авторити прошивать в железяку? Без этого любой сертификат будет самоподписанным.
А никакого. Вполне достаточно просто проверять...банальное совпадение сертификата.
(попутно послав подальше всяких любителей собирать логи)
При этом еще и вполне можно было бы забить болт на идиотские модные тренды с сертфикатами сроком действия две недели и прочую "заботу". Это ж собственный сервер нетжыра.Сюрприз, да? Правда, curl скорее всего так не умеет.
А авторити имеют свойства внезапно протухать, как это надысь вон произошло и с тем, которым был cross-signed пресловутый openssl (и внезапно выяснилось что все модные-современные библиотеки неспособны при этом использовать альтернативную цепочку)
Что для прошитого в железку несколько нехороший вариант. Впрочем, учитывая что проблема не в сертификате вовсе, и сама эта фича - ненужно-геолокация, и так неплохо получилось.
> А никакого. Вполне достаточно просто проверять...банальное совпадение сертификата.Почему приходится объяснять подобные банальности? Это результат чрезмерного увлечения СПО, а стало быть и халявой?
Иногда я начинаю верить в рептилоидные происки.
Чаще, конечно, просто на всякий случай поклоняюсь господам нашим.Но таки да - у curl при всем изобилии совершенно феерического мусора - такой простой фичи - нет.
Шва6одкиное по такое вот шва6одкиное. Полагаю, если ты даже осилишь в этой лапше разобраться и пришлешь им патч - его не заметят, потеряют, найдут фатальный недостаток - выберите любые четыре причины из трех.
> Иногда я начинаю верить в рептилоидные происки.Так вот этот Уходящий, он же Исчезающий - сам про себя заявил "имя мне Легион". :) Он, конечно, какую-то свою под это подводит философию, но если знать источник той фразы, то всё сходится. Раньше были черти, теперь рептилоиды. :)
Ребята походу не осилили сначала выставить время в железке, а потом ломится в https, и проверки обламывались, потому, что "сертификат еще не валиден". (после включения питания время там скорее всего 1 января какого нибудь 2010 года. и решили не заморачиваться, а не проверять вообще ничего.
Чтобы выставить время нужно… сначала выставить время. Без доверия к источнику времени TLS превращается в вектор для DoS. А без точного времени невозможно провалидировать источник точного времени.
Для получения времени https вообще не нужен. вот совсем. абсолютно.
и временная зона не нужна. всё время выставляется по ntp по utc.
А временная зона это для пользователя, чтобы ему удобно время в логах видеть. для показать и всё. Это можно и после получения точного времени настроить. (уж если зачем то надо)
NTP (обычно) работает через UDP, который часто заблокирован.
Мда... очередное переполнение стека...
Зачем программисты только и делают такие маленькие стеки, что они постоянно переполняются‽#УдаримПоПереполнениямБольшимиСтеками
Нам бы стеки взять и отменить
Есть же куча скриптоты на куче )
С кем не бввает...
даже зонды нормально сделать не могут. ойти, такое ойти
Дырявые маршрутизаторы, хорошо, что избавился...
Netgear параша глюкавая же. Этим серьезно кто-то пользуется? Я по незнанию купил себе роутер. Он включается минут 10, пинькает чето своими огоньками. Как, объясните мне, роутер может бутиться 10 минут, а? А потом еще вырубает вифи и все портит, что его раз в 3 дня ребутить надо и не факт, что с 1 ребута заработает.
Ну я использую. Как железка меня устраивает, а родную прошивку я снес сразу же.
>router-analytics/aws_jsonАналитика оправдала своё название.
На "моём" роутере от Huawei в настройках есть галка отключения UPnP. Отключил это. Но страницу инфы с серийниками и прочим роутер всё равно отдаёт по UPnP. Ибо нефиг скрываться от аналитики-телеметрии винды и прочих ОС и программ :)
Любой SOHO маршрутизатор имеет уязвимости. Просто некоторые модели распространены больше, и больше людей ищут уязвимости, и, соответственно, находят.Если в чьём-то любимом домашнем роутере до сих пор не нашли "дыр" — это как в анекдоте про "Неуловимого Джо", которого до сих пор не поймали, потому что он никому не нужен.
> Любой SOHO маршрутизатор имеет уязвимости.у вас какая-то бнобня латинницей вкралась после слова "любой".
А так все верно. Кожанным мешкам вообще свойственно допускать ошибки. А учитывая еще и нео-рабовладельческий строй, когда хозяевам денег пофигу на качество, а раб ничего не может решать - результат довольно предсказуем.
SOHO - https://en.wikipedia.org/wiki/Small_office/home_office
Бесполезно давать ссылки.
Этот крутой специалист в IT не умеет пользоваться Google и не читает по-английски.
Кстати, он и по-русски пишет с ошибками.
Ну говорить о гипотетических уязвимостях одно дело. О ненайденных тоже слишком широкая выборка. А вот если бв речь шла о конторской прошивке это могло бы быть близко к реальности.
Но никто не запрещает ежедневно обновлять OpenWRT скриптами по ночам.
Если не нашли дыр значит прошивка обновлена.
Актуальность обновлений зависит от разработчиков ядра, портирования в старые стабильные ядра исправлений безопасност и сборки прошивок на основе свежих версий программного обеспечения.
Честно говоря, когда мне в руки в первый раз попал нетгировский сохо-роутер, я тоже прифигел от необходимости набрать в адресной строке "remote-чего-то-там.net". С тех пор нетгир у меня в чёрном списке.
Разве это маршрутизаторы?.. А я, уж, было, занервничал...