Netgear WNR2000v3/WNR2000v4/WNR2000v5 uhttpd /apply.cgi Pufferüberlauf

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
6.6$0-$5k0.00

Es wurde eine Schwachstelle in Netgear WNR2000v3, WNR2000v4 sowie WNR2000v5 - die betroffene Version ist nicht klar definiert - (Wireless LAN Software) entdeckt. Sie wurde als kritisch eingestuft. Es betrifft unbekannter Code der Datei /apply.cgi der Komponente uhttpd. Mit der Manipulation mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-121 vorgenommen. Die Auswirkungen sind bekannt für Vertraulichkeit, Integrität und Verfügbarkeit.

Die Schwachstelle wurde am 20.12.2016 durch Pedro Ribeiro als [0-day] RCE and admin credential disclosure in NETGEAR WNR2000 in Form eines nicht definierten Mailinglist Posts (Full-Disclosure) publiziert. Das Advisory findet sich auf seclists.org. Sie ist leicht ausnutzbar. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Es sind technische Details sowie ein öffentlicher Exploit zur Schwachstelle bekannt.

Ein öffentlicher Exploit wurde durch Pedro Ribeiro in HTTP POST Request entwickelt und direkt nach dem Advisory veröffentlicht. Der Exploit wird unter seclists.org zur Verfügung gestellt. Er wird als proof-of-concept gehandelt. Vor einer Veröffentlichung handelte es sich 85 Tage um eine Zero-Day Schwachstelle. Während dieser Zeit erzielte er wohl etwa $5k-$25k auf dem Schwarzmarkt. Der durch den Exploit genutzte Code gestaltet sich wie folgt:

POST /apply.cgi?/lang_check.html%20timestamp=14948715 HTTP/1.1
Authorization: Basic YWRtaW46cGFzc3dvcmQ=
Content-Type: application/x-www-form-urlencoded
Content-Length: 604

submit_flag=select_language&hidden_lang_avi=aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaAAAABBBBCCCCDDDDEEEEFFFFbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbb
Das Advisory zeigt auf:
As it can be seen above, a stack variable which is located at an offset of 0x38 is the one overflown and it is in this function that the crash shown in gdb above occurs. The first register we control, $s0, has its value stored at offset 0x14, which is stored in the stack 0x24 (36) bytes from the stack variable that gets overwritten.

Das Advisory stellt fest:

NETGEAR did not respond to any emails, so THERE IS NO FIX for this vulnerability. It is recommended to replace this router with another make and model that supports OpenWRT firmware.

Schwachstellen ähnlicher Art sind dokumentiert unter 94633 und 94634.

Produktinfo

Typ

Hersteller

Name

Lizenz

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB CVSS-B Score: 🔍
VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 7.3
VulDB Meta Temp Score: 6.6

VulDB Base Score: 7.3
VulDB Temp Score: 6.6
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

Exploitinginfo

Klasse: Pufferüberlauf
CWE: CWE-121 / CWE-119
CAPEC: 🔍
ATT&CK: 🔍

Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Autor: Pedro Ribeiro
Programmiersprache: 🔍
Download: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: keine Massnahme bekannt
Status: 🔍

0-Day Time: 🔍
Exploit Delay Time: 🔍

Timelineinfo

26.09.2016 🔍
20.12.2016 +85 Tage 🔍
20.12.2016 +0 Tage 🔍
22.12.2016 +2 Tage 🔍
14.07.2019 +934 Tage 🔍

Quelleninfo

Hersteller: netgear.com

Advisory: [0-day] RCE and admin credential disclosure in NETGEAR WNR2000
Person: Pedro Ribeiro
Status: Nicht definiert
scip Labs: https://www.scip.ch/?labs.20161013
Siehe auch: 🔍

Eintraginfo

Erstellt: 22.12.2016 12:21
Aktualisierung: 14.07.2019 18:53
Anpassungen: 22.12.2016 12:21 (51), 14.07.2019 18:53 (2)
Komplett: 🔍

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

ZurückÜbersichtWeiter

Interested in the pricing of exploits?

See the underground prices here!