CVE-2024-12847: Vulnerabilità nel router NETGEAR sfruttata attivamente dal 2017

CVE-2024-12847 è una vulnerabilità critica (CVSS 9.8) che colpisce i router NETGEAR, sfruttata attivamente in ambienti reali almeno dal 2017. La falla consente ad attaccanti remoti di ottenere accesso non autorizzato ai dispositivi vulnerabili senza necessità di autenticazione, comportando rischi significativi come il controllo completo del dispositivo, compromissione della rete e esposizione di dati. La pubblicazione di un modulo Metasploit aumenta ulteriormente la probabilità di uno sfruttamento diffuso.

Dispositivi interessati:

  • NETGEAR DGN1000: Versioni del firmware inferiori alla 1.1.00.48
  • NETGEAR DGN2200 v1: Tutte le versioni del firmware (non più supportato)
    Altri dispositivi potrebbero essere interessati, ma i test non sono completi.
Prodotto Netgear-Router
Data 2025-01-13 13:20:19
Informazioni Fix Available, Active Exploitation

Riassunto tecnico

La vulnerabilità deriva da controlli di autenticazione inadeguati nel server web embedded del dispositivo. In particolare, gli URL che contengono la sottostringa currentsetting.htm aggirano i controlli di autenticazione, consentendo l’interazione con servizi backend sensibili. Gli attaccanti possono sfruttare l’endpoint setup.cgi per eseguire comandi arbitrari. Ad esempio:

http://<target-ip-address>/setup.cgi?next_file=netgear.cfg&todo=syscmd&cmd=cat+/www/.htpasswd&curpath=/&currentsetting.htm=1

Questo URL manipolato consente a un attaccante di recuperare il file /www/.htpasswd contenente la password in chiaro dell’utente amministratore. La funzione syscmd dello script setup.cgi esegue comandi arbitrari, rendendo banale l’esecuzione di codice remoto.

Raccomandazioni

  • NETGEAR DGN1000: Aggiornare immediatamente alla versione del firmware 1.1.00.48 o successiva.
  • NETGEAR DGN2200 v1: Poiché il supporto è stato interrotto, si consiglia agli utenti di sostituire il dispositivo con un modello più recente e supportato.
  • Buone pratiche generali:
  • Disabilitare la gestione remota salvo casi strettamente necessari.
  • Limitare l’accesso pubblico alle interfacce di gestione del router tramite firewall.
  • Aggiornare regolarmente il firmware del router e verificare la configurazione della rete.

Vuoi garantire la massima sicurezza informatica alla tua azienda? ISGroup SRL è qui per aiutarti con soluzioni di cyber security su misura per la tua azienda.

Vuoi che gestiamo tutto noi per te? Il servizi di Virtual CISO e di gestione delle vulnerabilità sono perfetti per la tua organizzazione.

Hai già le idee chiare su quello che ti serve? Esplora i nostri servizi di:

E molto altro. Proteggi la tua azienda con i migliori esperti di cybersecurity!

In