N​​etgear ルーターに複数の脆弱性:ゲーマー用の FunJSQ モジュールが問題を引き起こす

Netgear Routers impacted by FunJSQ Game Acceleration Module flaw

2022/09/18 SecurityAffairs — Xiamen Xunwang Network Technology が開発した、オンライン・ゲーム高速化のサードパーティ・モジュールである FunJSQ を介して任意のコードが実行され、Netgearルータの複数のモデルに影響が生じる、セキュリティとコンプライアンスの評価会社 Onekey の研究者たちが警告している。

FunJSQ モジュールは、Netgear の各種ルーターや、Orbi WiFi システムで使用されている。同モジュールに影響を与える問題は 2022年5月に発見され、現在は修正されている。各種ファームウェアの解析により、NETGEAR のデバイス (R9000/R7800/RAX200/RAX120/R6230/R6260/RAX40) および、一部の Orbi WiFi Systems (RBR20/RBS20/RBR50/RBS50) に FunJSQ モジュールが存在することが判明している。

専門家たちは、「我々は、2022年5月に、中国に拠点を置く Xiamen Xunwang Network Technology Co., Ltd.のサードパーティ製のゲーム速度向上サービス FunJSQ が、我々の製品群における大半の NETGEAR ファームウェア・イメージに存在していることを発見した。これらのファームウェアに対して、全面的な脆弱性調査を実施したところ、このサードパーティ・コンポーネントに影響を与え、LAN/WAN インターフェイスからの任意のコード実行につながる可能性がある、複数の問題を特定した」と述べている。

専門家たちが NETGEAR R7000 で使用されているファームウェアを分析する際に、以下のような問題が発見された。

  • 証明書の検証を明示的に無効化 (-k) することで、サーバーから返されたデータの改ざんが可能になるため、安全な通信ができない。
  • 更新パッケージの検証はハッシュ・チェックサムを介してのみ行われ、パッケージの署名がされない。
  • 昇格した特権で root パスを任意に抽出し、更新パッケージの管理者が、デバイス上の任意の場所の上書きが可能になる (サードパーティ・サプライヤに大きな信頼を置くことになる) 。

更新プロセス全体は、基本的に、ハッシュ・チェックサムのみを使用してデバイスで検証される署名されていないパッケージに依存する。専門家たちは、モジュールが更新プロセスのために安全な通信に依存していないことも発見した。これは、攻撃者が更新パッケージを改ざんできることを示唆している。

安全でない更新メカニズムに関連する問題は CVE-2022-40620 として追跡され、認証されていないコマンド・インジェクションの欠陥は、CVE-2022-40619 として追跡されている。

Onekey が公開した分析では、「これら全ての問題を組み合せることで、WAN インターフェイスから任意のコード実行ができる可能性がある」と指摘されている。

6月にこれらの問題を修正した NETGEAR は、被害者の WiFi パスワードを知っている攻撃者もしくは、被害者のルーターにイーサネット接続できる攻撃者のみが、この脆弱性を悪用できると述べている。

NETGEAR が公開したアドバイザリでは、「我々は、一部のルーターと Orbi WiFi Systems に統合されている、サードパーティ・モジュール FunJSQ に脆弱性があることを確認した。攻撃者がこの脆弱性を悪用するには、ユーザーの WiFi パスワードを取得しているか、ルーターへのイーサネット接続を獲得していることが必要だ」と説明されている。

ユーザーは、できるだけ早くデバイスを更新することが推奨される。

ゲームを高速化するための FunJSQ というサードパーティ・モジュールにより、さまざまなチェックをバイパスされることで、脆弱なデバイスが生じてしまうという話です。9月6日の「Minecraft に潜む大量のマルウェア:脅威アクターたちがゲーム環境を好む理由とは?」には、「大半のゲームに関連する、改造/チート/ツールは、非公式の一人プロジェクトにより作成されるため、セキュリティの誤検出が多発する。そのため、多くの開発者は、それらをインストールする前に、アンチウイルスを無効にするように被害者に警告している。したがって、ゲーマーたちは AV の警告を無視して、検出されたマルウェアをシステム上で実行することになる」と記されていました。今日の NETGEAR の問題とは、性質の異なるものですが、家族にバリバリのゲーマーがいるという方は、ご注意ください。