ISGroup Cybersicherheitsberatung

CVE-2024-12847: Schwachstelle in NETGEAR-Routern seit 2017 aktiv ausgenutzt

CVE-2024-12847 ist eine kritische Schwachstelle (CVSS 9.8), die NETGEAR-Router betrifft und seit mindestens 2017 aktiv in realen Umgebungen ausgenutzt wird. Die Sicherheitslücke ermöglicht es entfernten Angreifern, ohne Authentifizierung unbefugten Zugriff auf anfällige Geräte zu erlangen. Dies birgt erhebliche Risiken wie die vollständige Kontrolle über das Gerät, die Kompromittierung des Netzwerks und die Offenlegung von Daten. Die Veröffentlichung eines Metasploit-Moduls erhöht die Wahrscheinlichkeit einer weit verbreiteten Ausnutzung zusätzlich.

Betroffene Geräte:

  • NETGEAR DGN1000: Firmware-Versionen unter 1.1.00.48
  • NETGEAR DGN2200 v1: Alle Firmware-Versionen (nicht mehr unterstützt)
    Weitere Geräte könnten betroffen sein, die Tests sind jedoch noch nicht abgeschlossen.
ProduktNetgear-Router
Datum13.01.2025 13:20:19
Informationen
  • Fix verfügbar
  • Aktive Ausnutzung

Technische Zusammenfassung

Die Schwachstelle resultiert aus unzureichenden Authentifizierungsprüfungen im eingebetteten Webserver des Geräts. Insbesondere umgehen URLs, die die Teilzeichenfolge currentsetting.htm enthalten, die Authentifizierungsprüfungen, was die Interaktion mit sensiblen Backend-Diensten ermöglicht. Angreifer können den Endpunkt setup.cgi nutzen, um beliebige Befehle auszuführen. Zum Beispiel:

http://<target-ip-address>/setup.cgi?next_file=netgear.cfg&todo=syscmd&cmd=cat+/www/.htpasswd&curpath=/&currentsetting.htm=1

Diese manipulierte URL ermöglicht es einem Angreifer, die Datei /www/.htpasswd abzurufen, die das Passwort des Administrators im Klartext enthält. Die Funktion syscmd des Skripts setup.cgi führt beliebige Befehle aus, wodurch die Ausführung von Remote-Code trivial wird.

Empfehlungen

  • NETGEAR DGN1000: Aktualisieren Sie das Gerät umgehend auf die Firmware-Version 1.1.00.48 oder höher.
  • NETGEAR DGN2200 v1: Da der Support eingestellt wurde, wird Benutzern empfohlen, das Gerät durch ein neueres, unterstütztes Modell zu ersetzen.
  • Allgemeine Best Practices:
  • Deaktivieren Sie die Fernverwaltung, sofern dies nicht unbedingt erforderlich ist.
  • Beschränken Sie den öffentlichen Zugriff auf die Verwaltungsoberflächen des Routers mittels Firewall.
  • Aktualisieren Sie regelmäßig die Router-Firmware und überprüfen Sie die Netzwerkkonfiguration.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *