Netgear 部份路由器產品新發現多個嚴重資安漏洞
- 發布單位:TWCERT/CC
- 更新日期:2020-05-20
- 點閱次數:2971
無線網路設備大廠 Netgear 日前發布資安通報,指出旗下多款路由器產品發現存有多個資安漏洞,包括 2 個高度危險漏洞、21 個中度危險漏洞、1 個低度危險漏洞。
其中最危險的 2 個安全漏洞,都發生在 Nighthawk X4S Smart Wi-Fi Router(R7800)產品,其中一個 CVSS 評分高達 9.4 分,發生在韌體版本 1.0.2.68 之前,可讓駭侵攻擊者取得整台路由器的控制權;另一個 CVSS 高達 8 分的漏洞,發生在韌體版本 1.0.2.60 之前,可讓攻擊者注入指令,並可因此取得 root 控制權限。
這個可注入指令的資安漏洞,同樣也出現在 Netgear 另外 29 款路由器產品,分別是 D6000, R6000, R7000, R8000, R9000 和 XR500 系列產品。
除了上面提到的兩個資安漏洞外,稍早 Netgear 也曾針對其 R6400、R6700、R6900、R7900 系列產品發布資安通報,指出某些版本的韌體也含有高危險資安漏洞,同樣也是可讓駭侵者注入指令的漏洞。
Netgear 在資安通報中提供了更新修補檔案與教學,建議擁有上述機種設備的用戶,盡快更新到最新版韌體,以修補這些嚴重的資安漏洞。
- 影響產品(版本):
Nighthawk X4S Smart Wi-Fi Router(R7800)韌體版本 1.0.2.68 之前
Nighthawk X4S Smart Wi-Fi Router(R7800)韌體版本 1.0.2.60 之前
D6000, R6000, R7000, R8000, R9000 和 XR500 系列產品
R6400、R6700、R6900、R7900 系列產品
- 解決方案:升級到最新版本韌體
相關連結
- Security Advisory for Pre-Authentication Command Injection on Some Routers, PSV-2019-0051
- Security Advisory for Post-Authentication Command Injection on Some Routers and Gateways, PSV-2018-0
- Security Advisory for Unauthenticated Remote Code Execution on R7800, PSV-2019-0076
- Critical Netgear Bug Impacts Flagship Nighthawk Router