Tagad ir īstais laiks, lai nopietni atjauninātu sava Netgear maršrutētāja programmaparatūru pēc tam, kad drošības firma Trustwave ir atradusi jaunu ievainojamību, kas vismaz 10 000 maršrutētāju atstāj pakļautu paroles nolaupīšanai. 31 Netgear maršrutētāja modeļa kļūda kiberuzbrucējiem atklāj ierīces tīmekļa GUI paroli.

Drošības problēma ir aktuāla, ņemot vērā iepriekšējās ievainojamības papēžus, kas tika atklāti pagājušā gada decembrī un kas radušies problēmas dēļ ar novecojušu programmaparatūru - kaut ko tādu, ko Netgear ātri izlaida ielāpu un laboja pagājušā gada beigās.

Jaunā ievainojamība tomēr atstāj administratora paroli noteiktos Netgear maršrutētājos, kas ir uzņēmīgi pret hakeriem. Trustwave atklāj, ka kopš 2016. gada aprīļa Netgear maršrutētāji ir vērsti uz vairākām drošības ievainojamībām. Neskatoties uz daudziem gadījumiem, kas brīdina Netgear par problēmu, Trustwave nesaņēma atbildi no uzņēmuma. Neskatoties uz to, Netgear beidzot izdeva drošības biļetenu, lai novērstu trūkumus.

Trustwave pētnieks Saimons Kenins aprakstīja trūkumus emuāra ierakstā:

Pēc dažiem izmēģinājumiem un kļūdām, mēģinot atkārtot problēmu, es atklāju, ka pats pirmais izsaukums uz passwordrecovered.cgi izsniegs akreditācijas datus neatkarīgi no tā, kuru parametru jūs nosūtāt. Šī ir pilnīgi jauna kļūda, ko es nekur citur neesmu redzējis. Pārbaudot abas kļūdas dažādos Netgear modeļos, es atklāju, ka mana otrā kļūda darbojas uz daudz plašāku modeļu klāstu.

Kenins atzīmēja, ka divu ievainojamību iespējošanai ir nepieciešama fiziska vai attāla piekļuve maršrutētājam:

Ievainojamību var izmantot attālais uzbrucējs, ja ir iestatīts, ka attālā administrēšana ir vērsta pret internetu. Pēc noklusējuma tas nav ieslēgts. Tomēr ikviens, kam ir fiziska piekļuve tīklam ar neaizsargātu maršrutētāju, to var izmantot lokāli. Tas ietvertu publiskās wifi telpas, piemēram, kafejnīcas un bibliotēkas, kurās tiek izmantots neaizsargāts aprīkojums.

Trustwave lēš, ka kļūdas var ietekmēt simtiem tūkstošu Netgear ierīču. Uzņēmums tagad mudina Netgear maršrutētāju lietotājus pārbaudīt šo zināšanu bāzes rakstu, lai iegūtu instrukcijas, kā pārbaudīt jūsu ierīci par ievainojamību. Rokasgrāmatā ir arī norādījumi par to, kā lietot ielāpotu programmaparatūru neaizsargātiem maršrutētājiem.