Netgear deja las vulnerabilidades sin parchear en el enrutador Nighthawk

Netgear R6700v3
Fuente: Netgear

Los investigadores encontraron media docena de vulnerabilidades de alto riesgo en la última versión de firmware para el enrutador Netgear Nighthawk R6700v3. Los defectos permanecen sin resolver en el momento de la publicación.

Nighthawk R6700 es un popular enrutador WiFi de doble banco que se anuncia con funciones centradas en el juego, controles parentales inteligentes y hardware interno lo suficientemente potente como para satisfacer las necesidades de los usuarios domésticos.

Las seis fallas fueron descubiertas por investigadores de la firma de ciberseguridad Tenable y podrían permitir que un atacante en la red tomara el control completo del dispositivo:

  • CVE-2021-20173: un defecto de entrada de comando posterior a la autenticación en la funcionalidad de actualización del dispositivo, que lo hace susceptible a la entrada de comando.
  • CVE-2021-20174: HTTP se utiliza de forma predeterminada en todas las comunicaciones de la interfaz web del dispositivo, con el riesgo de interceptar el nombre de usuario y la contraseña en texto sin cifrar.
  • CVE-2021-20175: La interfaz SOAP (puerto 5000) utiliza HTTP para comunicarse de forma predeterminada, con el riesgo de interceptar el nombre de usuario y la contraseña en un formato no cifrado.
  • CVE-2021-23147: Ejecutar el comando como root sin autenticación a través de una conexión al puerto UART. La explotación de esta falla requiere acceso físico al dispositivo.
  • CVE-2021-45732- Manipulación de la configuración a través de rutinas de cifrado codificadas, lo que le permite cambiar la configuración que está bloqueada por razones de seguridad.
  • CVE-2021-45077: Todos los nombres de usuario y contraseñas para los servicios del dispositivo se almacenan en formato de texto en el archivo de configuración.

Además de los problemas de seguridad mencionados anteriormente, Tenable encontró varias instancias de bibliotecas jQuery basadas en la versión 1.4.2, que se sabe que contiene vulnerabilidades. Los investigadores también señalan que el dispositivo que usa un MiniDLNA es una versión de servidor con fallas conocidas públicamente.

Solicitud POST que fuerza una verificación de actualización para aprovechar CVE-2021-20173
Solicitud POST que fuerza una verificación de actualización para aprovechar CVE-2021-20173
Fuente: Tenable

Los defectos recientemente revelados afectan a la versión de firmware 1.0.4.120, que es la última versión del dispositivo.

Se recomienda a los usuarios que cambien las credenciales predeterminadas a algo único y sólido y sigan las prácticas de seguridad recomendadas para una defensa más sólida contra las infecciones de malware.

Además, consulte el Portal de descarga de firmware de Netgear con regularidad e instale nuevas versiones a medida que estén disponibles. También se recomienda que habilite las actualizaciones automáticas en su enrutador.

El informe de seguridad actual es para Netgear R6700 v3, que todavía es compatible, no para Netgear R6700 v1 y R6700 v2, que han llegado al final de su vida útil. Si todavía usa modelos más antiguos, le recomendamos que los actualice.

Tenable reveló los problemas anteriores al vendedor el 30 de septiembre de 2021, y aunque posteriormente se produjo un intercambio de información en forma de aclaraciones y sugerencias, los problemas siguen sin resolverse.

Nos comunicamos con Netgear para solicitar comentarios sobre lo anterior y agregaremos una actualización a esta historia tan pronto como tengamos noticias de ellos.

Descubre más contenido

Subir Change privacy settings