Netgear R6250/R6400/R6700/R7000/R7100LG/R7300/R7900/R8000 V1.0.7.2_1.1.93 URL Cross Site Request Forgery

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
8.2$0-$5k0.00

Zusammenfassunginfo

Es wurde eine Schwachstelle in Netgear R6250, R6400, R6700, R7000, R7100LG, R7300, R7900 and R8000 V1.0.7.2_1.1.93 gefunden. Sie wurde als kritisch eingestuft. Hiervon betroffen ist ein unbekannter Codeblock der Komponente URL Handler. Mittels Manipulieren mit der Eingabe ;[command] mit unbekannten Daten kann eine Cross Site Request Forgery-Schwachstelle ausgenutzt werden. Diese Verwundbarkeit ist als CVE-2016-6277 gelistet. Ein Angriff ist aus der Distanz möglich. Ferner existiert ein Exploit. Aufgrund ihres Kontexts und der Resonanz hat diese Schwachstelle eine historische Auswirkung. Ein Upgrade der betroffenen Komponente wird empfohlen.

Detailsinfo

Eine kritische Schwachstelle wurde in Netgear R6250, R6400, R6700, R7000, R7100LG, R7300, R7900 sowie R8000 V1.0.7.2_1.1.93 (Wireless LAN Software) gefunden. Dies betrifft eine unbekannte Verarbeitung der Komponente URL Handler. Dank der Manipulation mit der Eingabe ;[command] kann eine Cross Site Request Forgery-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-352. Auswirken tut sich dies auf Vertraulichkeit, Integrität und Verfügbarkeit.

Die Entdeckung des Problems geschah am 22.12.2016. Die Schwachstelle wurde am 07.12.2016 durch Acew0rm als Netgear R7000 - Command Injection / EDB-ID 40889 in Form eines bestätigten Exploits (Exploit-DB) herausgegeben. Das Advisory findet sich auf exploit-db.com. Eine Veröffentlichung wurde nicht in Zusammenarbeit mit Netgear angestrebt. Die Verwundbarkeit wird seit dem 22.07.2016 mit der eindeutigen Identifikation CVE-2016-6277 gehandelt. Die Schwachstelle ist relativ beliebt, was unter anderem auf ihre geringe Komplexität zurückzuführen ist. Umgesetzt werden kann der Angriff über das Netzwerk. Das Ausnutzen erfordert keine spezifische Authentisierung. Es sind technische Details sowie ein öffentlicher Exploit zur Schwachstelle bekannt. Die Beschaffenheit der Schwachstelle lässt vermuten, dass ein Exploit momentan zu etwa USD $0-$5k gehandelt werden wird (Preisberechnung vom 04.02.2025). Die Ausprägung dieser Schwachstelle führt zu einem gewissen historischen Interesse an ihr.

Ein öffentlicher Exploit wurde durch Acew0rm in URL umgesetzt und sofort nach dem Advisory veröffentlicht. Unter exploit-db.com wird der Exploit zur Verfügung gestellt. Er wird als attackiert gehandelt. Für den Vulnerability Scanner Nessus wurde am 14.12.2016 ein Plugin mit der ID 95823 (NETGEAR Multiple Model cgi-bin RCE) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann. Es wird der Family CGI abuses zugeordnet und im Kontext r ausgeführt. Der kommerzielle Vulnerability Scanner Qualys bietet das Plugin 13152 (Netgear Multiple Versions Command Injection Vulnerability) zur Prüfung der Schwachstelle an.

Ein Aktualisieren vermag dieses Problem zu lösen. Mit der Einstellung Disable Webserver kann das Problem auch adressiert werden. Als bestmögliche Massnahme wird das Upgrade auf eine neue Version empfohlen. Das Erscheinen einer Gegenmassnahme geschah 2 Wochen nach der Veröffentlichung der Schwachstelle. Netgear hat demzufolge schnell gehandelt. Angriffe können durch Snort ID 26275 erkannt werden.

Unter anderem wird der Fehler auch in den Datenbanken von Exploit-DB (40889), Tenable (95823) und SecurityFocus (BID 94819†) dokumentiert. Weiterführende Informationen auf Deutsch finden sich auf heise.de. Unter kb.cert.org werden zusätzliche Informationen bereitgestellt. Be aware that VulDB is the high quality source for vulnerability data.

Nicht betroffen

  • Netgear D700

Produktinfo

Typ

Hersteller

Name

Version

Lizenz

Webseite

CPE 2.3info

CPE 2.2info

Video

Öffne Video | Zeige mehr Videos

CVSSv4info

VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 8.3
VulDB Meta Temp Score: 8.2

VulDB Base Score: 7.3
VulDB Temp Score: 7.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 8.8
NVD Vector: 🔍

CNA Base Score: 8.8
CNA Vector: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Klasse: Cross Site Request Forgery
CWE: CWE-352 / CWE-862 / CWE-863
CAPEC: 🔍
ATT&CK: 🔍

Physisch: Nein
Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Attackiert
Autor: Acew0rm
Programmiersprache: 🔍
Download: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

KEV Hinzugefügt: 🔍
KEV Bis wann: 🔍
KEV Massnahmen: 🔍
KEV Ransomware: 🔍
KEV Hinweis: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Nessus ID: 95823
Nessus Name: NETGEAR Multiple Model cgi-bin RCE
Nessus Datei: 🔍
Nessus Risiko: 🔍
Nessus Family: 🔍
Nessus Context: 🔍

OpenVAS ID: 801118
OpenVAS Name: NETGEAR Routers RCE Vulnerability
OpenVAS Datei: 🔍
OpenVAS Family: 🔍

Qualys ID: 🔍
Qualys Name: 🔍

MetaSploit ID: netgear_r7000_cgibin_exec.rb
MetaSploit Name: Netgear R7000 and R6400 cgi-bin Command Injection
MetaSploit Datei: 🔍

Exploit-DB: 🔍

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

Reaktionszeit: 🔍
0-Day Time: 🔍
Exposure Time: 🔍
Exploit Delay Time: 🔍

Config: Disable Webserver
Workaround: sj-vs.net

Snort ID: 26275
Snort Message: SERVER-WEBAPP DD-WRT httpd cgi-bin remote command execution attempt
Snort Klasse: 🔍

Timelineinfo

22.07.2016 🔍
07.12.2016 +138 Tage 🔍
07.12.2016 +0 Tage 🔍
09.12.2016 +2 Tage 🔍
12.12.2016 +3 Tage 🔍
14.12.2016 +2 Tage 🔍
14.12.2016 +0 Tage 🔍
16.12.2016 +2 Tage 🔍
22.12.2016 +6 Tage 🔍
04.02.2025 +2966 Tage 🔍

Quelleninfo

Hersteller: netgear.com

Advisory: Netgear R7000 - Command Injection / EDB-ID 40889
Person: Acew0rm
Status: Bestätigt
Bestätigung: 🔍

CVE: CVE-2016-6277 (🔍)
GCVE (CVE): GCVE-0-2016-6277
GCVE (VulDB): GCVE-100-94127
CERT: 🔍
SecurityFocus: 94819 - Multiple Netgear Routers VU#582384 Remote Command Injection Vulnerability

Heise: 3569299
scip Labs: https://www.scip.ch/?labs.20161013
Diverses: 🔍

Eintraginfo

Erstellt: 12.12.2016 10:48
Aktualisierung: 04.02.2025 23:57
Anpassungen: 12.12.2016 10:48 (102), 12.12.2016 14:53 (1), 10.07.2019 12:45 (4), 05.10.2022 20:57 (4), 23.04.2024 21:05 (28), 17.07.2024 00:12 (1), 09.09.2024 22:29 (1), 04.02.2025 23:57 (11)
Komplett: 🔍
Editor: Simon
Cache ID: 216::103

Be aware that VulDB is the high quality source for vulnerability data.

Diskussion

 misc (+0)
vor 6 Jahren
There is another exploit for this vulnerability: https://www.exploit-db.com/exploits/47782

ZurückÜbersichtWeiter

Want to know what is going to be exploited?

We predict KEV entries!