Уязвимость BDU:2021-05920

Дата: 09.11.2021. Автор: ФСТЭК России. Категории: Уязвимости

Идентификатор: BDU:2021-05920.

Наименование уязвимости: Уязвимость службы UPnP встроенного программного обеспечения маршрутизаторов NETGEAR: EX3700, EX3800, EX6120, EX6130, R6400, R6400v2, R6700v3, R6900P, R7000, R7000P, R7100LG, R7850, R7900P, R7960P, R8000, R8000P, R8300, R8500, RAX15, RAX20, RAX200, RAX35v2, RAX38v2, RAX40v2, RAX42, RAX43, RAX45, RAX48, RAX50, RAX50S, RAX75, RAX80, RAXE450, RAXE500, RS400, WNDR3400v3, WNR3500Lv2, XR300; маршрутизаторов NETGEAR с модемом DSL: D6220, D6400, D7000v2, DGN2200v4; AirCards DC112A; кабельного модема NETGEAR CAX80, позволяющая нарушителю выполнить произвольный код.

Описание уязвимости: Уязвимость службы UPnP встроенного программного обеспечения маршрутизаторов NETGEAR: EX3700, EX3800, EX6120, EX6130, R6400, R6400v2, R6700v3, R6900P, R7000, R7000P, R7100LG, R7850, R7900P, R7960P, R8000, R8000P, R8300, R8500, RAX15, RAX20, RAX200, RAX35v2, RAX38v2, RAX40v2, RAX42, RAX43, RAX45, RAX48, RAX50, RAX50S, RAX75, RAX80, RAXE450, RAXE500, RS400, WNDR3400v3, WNR3500Lv2, XR300; маршрутизаторов NETGEAR с модемом DSL: D6220, D6400, D7000v2, DGN2200v4; AirCards DC112A; кабельного модема NETGEAR CAX80 связана с переполнением буфера в стеке. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Уязвимое ПО: Микропрограммный код NETGEAR NETGEAR RS400 до 1.5.1.80 | Микропрограммный код NETGEAR EX6120 до 1.0.0.66 | Микропрограммный код NETGEAR EX6130 до 1.0.0.66 | ПО сетевого программно-аппаратного средства NETGEAR Встроенное программное обеспечение маршрутизатора NETGEAR R6400 до 1.0.1.76 | ПО сетевого программно-аппаратного средства NETGEAR Встроенное программное обеспечение маршрутизатора NETGEAR R6400v2 до 1.0.4.120 | Микропрограммный код NETGEAR NETGEAR R6700v3 до 1.0.4.120 | Микропрограммный код NETGEAR NETGEAR R6900P до 1.3.3.142_HOTFIX | Микропрограммный код NETGEAR NETGEAR R7000P до 1.3.3.142_HOTFIX | Микропрограммный код NETGEAR NETGEAR R7850 до 1.0.5.76 | Микропрограммный код NETGEAR NETGEAR R7960P до 1.4.2.84 | ПО сетевого программно-аппаратного средства NETGEAR Встроенное программное обеспечение маршрутизатора NETGEAR R8000P до 1.4.2.84 | Микропрограммный код NETGEAR NETGEAR RAX15 до 1.0.4.100 | Микропрограммный код NETGEAR NETGEAR RAX20 до 1.0.4.100 | Микропрограммный код NETGEAR NETGEAR RAX200 до 1.0.5.132 | Микропрограммный код NETGEAR NETGEAR RAX35v2 до 1.0.4.100 | Микропрограммный код NETGEAR NETGEAR RAX38v2 до 1.0.4.100 | Микропрограммный код NETGEAR NETGEAR RAX40v2 до 1.0.4.100 | Микропрограммный код NETGEAR NETGEAR RAX42 до 1.0.4.100 | Микропрограммный код NETGEAR NETGEAR RAX43 до 1.0.4.100 | Микропрограммный код NETGEAR NETGEAR RAX45 до 1.0.4.100 | Микропрограммный код NETGEAR NETGEAR RAX48 до 1.0.4.100 | Микропрограммный код NETGEAR NETGEAR RAX50 до 1.0.4.100 | Микропрограммный код NETGEAR NETGEAR RAX50S до 1.0.4.100 | Микропрограммный код NETGEAR NETGEAR RAX75 до 1.0.5.132 | Микропрограммный код NETGEAR NETGEAR RAX80 до 1.0.5.132 | Микропрограммный код NETGEAR NETGEAR RAXE450 до 1.0.8.70 | Микропрограммный код NETGEAR NETGEAR RAXE500 до 1.0.8.70 | Микропрограммный код NETGEAR NETGEAR WNDR3400v3 до 1.0.1.42 | Микропрограммный код NETGEAR NETGEAR WNR3500Lv2 до 1.2.0.70 | ПО сетевого программно-аппаратного средства NETGEAR Встроенное программное обеспечение маршрутизатора NETGEAR D6400 до 1.0.0.108 | Микропрограммный код NETGEAR EX3700 до 1.0.0.94 | Микропрограммный код NETGEAR EX3800 до 1.0.0.94 | Микропрограммный код NETGEAR NETGEAR R7000 до 1.0.11.128 | ПО сетевого программно-аппаратного средства NETGEAR Встроенное программное обеспечение маршрутизатора NETGEAR R7100LG до 1.0.0.72 | ПО сетевого программно-аппаратного средства NETGEAR NETGEAR R7900 1.4.2.84 | ПО сетевого программно-аппаратного средства NETGEAR R8000 1.0.4.76 | ПО сетевого программно-аппаратного средства NETGEAR Встроенное программное обеспечение маршрутизатора NETGEAR R8300 до 1.0.2.156 | ПО сетевого программно-аппаратного средства NETGEAR R8500 до 1.0.2.156 | Микропрограммный код NETGEAR NETGEAR XR300 до 1.0.3.68 | ПО сетевого программно-аппаратного средства NETGEAR Встроенное программное обеспечение маршрутизатора NETGEAR D6220 до 1.0.0.76 | ПО сетевого программно-аппаратного средства NETGEAR Встроенное программное обеспечение маршрутизатора NETGEAR D7000v2 до 1.0.0.76 | ПО сетевого программно-аппаратного средства NETGEAR Встроенное программное обеспечение маршрутизатора NETGEAR DGN2200v4 до 1.0.0.126 | Микропрограммный код NETGEAR AirCards DC112A до 1.0.0.62 | Микропрограммный код NETGEAR CAX80 до 2.1.3.5 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 09.11.2021.
CVSS 2.0: AV:A/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,3)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)

Возможные меры по устранению:
Использование рекомендаций:
https://kb.netgear.com/000064361/Security-Advisory-for-Pre-Authentication-Buffer-Overflow-on-Multiple-Products-PSV-2021-0168
.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2021-34991. ZDI-21-1303.

Тип ошибки CWE: CWE-121, CWE-787
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://kb.netgear.com/000064361/Security-Advisory-for-Pre-Authentication-Buffer-Overflow-on-Multiple-Products-PSV-2021-0168
https://www.zerodayinitiative.com/advisories/ZDI-21-1303/

Об авторе ФСТЭК России

Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Читать все записи автора ФСТЭК России

Добавить комментарий

Ваш адрес email не будет опубликован.