Múltiples vulnerabilidades en productos Netgear

‎Netgear ha publicado una actualización de firmware que subsana 12 vulnerabilidades de severidad crítica, presentes en múltiples de sus productos, que permitirían a un atacante la divulgación de credenciales de administrador, desbordamiento de búfer y ataques de inyección de comandos previas a la autenticación.

Las vulnerabilidades aún no poseen CVE asignado. Las principales se detallan a continuación:

• «PSV-2020-0038«, una vulnerabilidad de divulgación de credenciales de administrador, de severidad crítica, con una puntuación asignada de 9.6. La misma afecta a algunos modelos de enrutadores y sistemas Wi-Fi de Netgear.
• «PSV-2020-0324«, una vulnerabilidad de desbordamiento de búfer previa a la autenticación, de severidad crítica, con una puntuación asignada de 9.6. La misma afecta a algunos modelos de enrutadores de Netgear.
• «PSV-2020-0350«, una vulnerabilidad de inyección de comandos previa a la autenticación‎, de severidad crítica, con una puntuación asignada de 9.6. La misma a algunos modelos de enrutadores de Netgear.

Para visualizar la lista detallada de las vulnerabilidades subsanadas, ingresar a este enlace.

Las versiones de firmware afectadas en Netgear son:

• CBR40, con versiones de firmware anteriores a la 2.5.0.24;
• CBR750, con versiones de firmware anteriores a la 4.6.3.6;
• D6220, con versiones de firmware anteriores a la 1.0.0.72;
• D6400, con versiones de firmware anteriores a la 1.0.0.114;
• D7000v2, con versiones de firmware anteriores a la 1.0.0.66;

‎ Para visualizar una lista detallada de los productos afectados, ingresar a este enlace.

Recomendamos actualizar a la última versión de firmware disponible, siguiendo los pasos a continuación:

1. Visitar el soporte de Netgear.
2. Comience a escribir su número de modelo en el cuadro de búsqueda, luego seleccione su modelo en el menú desplegable tan pronto como aparezca. Si no ve un menú desplegable, asegúrese de haber introducido correctamente el número de modelo o seleccione una categoría de producto para buscar el modelo de producto.
3. Haga clic en Descargas.
4. En Versiones actuales, seleccione la descarga cuyo título comienza con Versión de firmware.
5. Haga clic en Descargar.
6. Siga las instrucciones del manual del usuario del producto, las notas de la versión del firmware o la página de soporte técnico del producto para instalar el nuevo firmware.

Nota: Las vulnerabilidades de divulgación de credenciales de administrador, desbordamiento de búfer y ataques de inyección de comandos previas a la autenticación permanecen si no completa todos los pasos recomendados.

Referencias:

• https://www.netgear.com/about/security/
• https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/multiples-vulnerabilidades-productos-netgear-19
• https://kb.netgear.com/000064762/Security-Advisory-for-Admin-Credential-Disclosure-on-Some-Routers-and-WiFi-Systems-PSV-2020-0038
• https://kb.netgear.com/000064774/Security-Advisory-for-Pre-Authentication-Buffer-Overflow-on-Some-Routers-PSV-2020-0324
• https://kb.netgear.com/000064775/Security-Advisory-for-Pre-Authentication-Command-Injection-on-Some-Routers-PSV-2020-0350
• https://www.netgear.com/support/