ISGroup Conseil en Cybersécurité

CVE-2024-12847 : Vulnérabilité dans les routeurs NETGEAR exploitée activement depuis 2017

CVE-2024-12847 est une vulnérabilité critique (CVSS 9.8) affectant les routeurs NETGEAR, exploitée activement dans des environnements réels depuis au moins 2017. La faille permet à des attaquants distants d’obtenir un accès non autorisé aux appareils vulnérables sans nécessiter d’authentification, entraînant des risques significatifs tels que le contrôle complet de l’appareil, la compromission du réseau et l’exposition de données. La publication d’un module Metasploit augmente encore la probabilité d’une exploitation généralisée.

Appareils concernés :

  • NETGEAR DGN1000 : Versions du firmware inférieures à 1.1.00.48
  • NETGEAR DGN2200 v1 : Toutes les versions du firmware (plus supporté)
    D’autres appareils pourraient être concernés, mais les tests ne sont pas complets.
ProduitNetgear-Router
Date13-01-2025 13:20:19
Informations
  • Correctif disponible
  • Exploitation active

Résumé technique

La vulnérabilité découle de contrôles d’authentification inadéquats dans le serveur web embarqué de l’appareil. Plus précisément, les URL contenant la sous-chaîne currentsetting.htm contournent les contrôles d’authentification, permettant l’interaction avec des services backend sensibles. Les attaquants peuvent exploiter le point de terminaison setup.cgi pour exécuter des commandes arbitraires. Par exemple :

http://<target-ip-address>/setup.cgi?next_file=netgear.cfg&todo=syscmd&cmd=cat+/www/.htpasswd&curpath=/&currentsetting.htm=1

Cette URL manipulée permet à un attaquant de récupérer le fichier /www/.htpasswd contenant le mot de passe en clair de l’utilisateur administrateur. La fonction syscmd du script setup.cgi exécute des commandes arbitraires, rendant l’exécution de code à distance triviale.

Recommandations

  • NETGEAR DGN1000 : Mettre à jour immédiatement vers la version du firmware 1.1.00.48 ou ultérieure.
  • NETGEAR DGN2200 v1 : Étant donné que le support a été arrêté, il est conseillé aux utilisateurs de remplacer l’appareil par un modèle plus récent et pris en charge.
  • Bonnes pratiques générales :
  • Désactiver la gestion à distance, sauf en cas de nécessité absolue.
  • Limiter l’accès public aux interfaces de gestion du routeur via un pare-feu.
  • Mettre régulièrement à jour le firmware du routeur et vérifier la configuration du réseau.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *