De første meldingene ramset opp R6400, R7000 og muligens R8000 blant nettverksruterne fra Netgear med en svært kritisk sårbarhet.
Les saken: Advarer mot kritisk hull
Nå viser det seg at flere modeller er berørt. Produsenten kan i dag bekrefte at i hvert fall R6250, R6400, R6700, R700, R7100LG, R7300, R7900 og R8000 er rammet.
Antakelig er det enda flere.
Ytterligere noen rutere fra Netgear i Nighthawk-serien er sårbare, ifølge denne sikkerhetsforskeren som kaller seg Kalypto Pink. Han byr også på en utførlig oppskrift til hvordan kunder selv kan sjekke sitt eget utstyr.
Det er en svakhet i ruterens webbaserte administrasjonsgrensesnitt som åpner for injisering av kommandoer, helt uten autentisering. Ved å narre brukere til å besøke en spesielt utformet lenke eller nettside kan en angriper ta full kontroll med ruteren.
Skal ha advart Netgear i august
Dette er såpass trivielt å utnytte at amerikanske myndigheter har bedt kunder med sårbart utstyr om å skru av ruterne sine.
Ifølge nettstedet CSO Online ble sårbarheten oppdaget for mange måneder siden av sikkerhetsforskeren Andrew Rollins med hackeraliaset Acew0rm. Han hevder å ha informert Netgear den 25. august, men at produsenten aldri svarte ham.
Acew0rm valgte å publisere angrepskode i forrige uke. Først da ble sårbarhet allment kjent.
Beta-fiks til noen modeller
Netgear opplyser at de jobber på spreng med lappesaker.
Disse vil komme på løpende bånd til de berørte nettverksrutermodellene, noen kanskje allerede i dag.
Følg sikkerhetsmeldingene på denne siden for oppdateringer fra produsenten.
I skrivende stund har de rukket å utgi nødfiks til tre modeller. De påpeker at dette er beta-versjoner av fastvare, som ikke er fullt ut testet og muligens ikke fungerer for alle.
Skru av webserver
Den samme sårbarheten kan benyttes til å skru av selve HTTP-tjenesten på ruteren, som en leser tipser digi.no om. Oppskriften for dette er også delt på nettstedet Kalypto.org.
Kommandoen som deaktiverer webtjenesten (her må du eventuelt erstatte IP-adressen til den ruteren din benytter på lokalnettet) er:
http://192.168.1.1/cgi-bin/;killall$IFS’httpd’
Så lenge det innebygde webadministrasjonsgrensesnittet er avskrudd er det ikke mulig å kjøre flere ondsinnede kommandoer. Merk at grensesnittet starter automatisk igjen ved en omstart av ruteren, så noen permanent løsning er det ikke.