あるAnonymous Coward 曰く、

トレンドマイクロが運営するZero Day Initiative (ZDI)は6月15日、NETGEAR製品に幅広く影響する計10件の脆弱性を公開した（JVNの発表）。 この脆弱性はTeam FlashbackのPedro Ribeiro氏とRadek Domanski氏、およびVNPT ISCを通じてd4rkn3ss氏によって報告された。10件中8件はリモートからの任意コード実行が可能となるもので、Web管理画面のCGIプログラムに対するバッファオーバーフロー攻撃などで発生する。JVNによると以下の諸問題のため、影響が深刻化するおそれがあるという。

1. 当該製品では httpd が root 権限で動作している
2. Netgear 製品では、バッファオーバーフロー対策に用いられる Stack cookie (カナリア値) が使用されていないものが多い
3. 本脆弱性の攻撃には認証を必要としない
4. CSRF 対策のトークンがチェックされる前の段階で本脆弱性の攻撃が可能
5. 機器の情報が /currentsetting.htm ページを閲覧するだけで取得できるため、攻撃者にとって攻撃対象の選定が容易

すでにZDIによってZDI-20-709の解説と実証コードが公開されているほか、サイバーセキュリティ組織のGRIMMも独自にZDI-20-712に相当する脆弱性を発見・報告しており、その解説と実証コードが公開されている。 ZDIでは2019年11月から2020年2月にかけてNETGEARに脆弱性を報告して公表に向けた調整を進めていたが、報告から120日が経過したため、修正プログラムの提供を待たず公表に踏み切ったという。NETGEARは6月18日にセキュリティアドバイザリを公開、一部製品については修正プログラムの提供を開始し、残る製品についてはリモート管理機能をオフにする回避策を推奨している。最大で80種類近くの製品が影響を受ける可能性があり、米CERT/CCが脆弱性の影響を受ける製品一覧とそれらの対応状況をGoogle スプレッドシートで公開している。

情報元へのリンク