CVE-2024-12847 (CVSS 9.8): NETGEAR Router Flaw Exploited in the Wild for Years, PoC Published
2025/01/10 SecurityOnline — 複数の NETGEAR ルーターに、深刻なセキュリティ脆弱性 CVE-2024-12847 (CVSS 9.8) が発見された。この脆弱性は、リモートの攻撃者に対して、デバイスへの不正なアクセス/制御を許すものであり、遅くとも 2017年から実環境で悪用されていたことが確認されている。
脆弱性 CVE-2024-12847 の影響をうけるのは、以下の NETGEAR デバイスに組み込まれた Web サーバである:
- NETGEAR DGN1000:ファームウェア・バージョン 1.1.00.48 以下
- NETGEAR DGN2200 v1:全てのファーム・ウェアバージョン (EoL)
他の NETGEAR デバイス/ファームウェアのバージョンも、脆弱性を持っている可能性があるが、現時点では包括的なテストは実施されていないという。
脆弱性 CVE-2024-12847 の原因は、デバイスに組み込まれた Web サーバにおける、不適切な認証チェックにある。具体的には、”currentsetting.htm” という文字列を含む URL であれば、認証をバイパスすることになる。したがって攻撃者は、認証情報を必要とせずに、ルーターのバックエンド・サービスとの、インタラクションの可能性を手にする。
主な悪用ベクターの1つは、”setup.cgi” エンドポイントの悪用である。以下に悪用の例を示す:
- 攻撃者は、以下のような URL を作成することで、管理ユーザーの平文パスワードが含まれている “/www/.htpasswd” などの機密ファイルを読み取ることができる:http://<target-ip-address>/setup.cgi?next_file=netgear.cfg&todo=syscmd&cmd=cat+/www/.htpasswd&curpath=/¤tsetting.htm=1
- “setup.cgi” スクリプトの syscmd 機能により攻撃者は、自身が提供する任意のコマンドを実行できる。 上記の例は、機密データを読み取るために、cat コマンドを実行し、その出力をブラウザに表示するものだ。
さらに、脆弱性 CVE-2024-12847 に対する PoC エクスプロイト・コードとなる、Metasploit モジュールがリリースされているため、悪用のための技術的障壁が低くなっている。
すでに NETGEAR は、DGN1000 ルーター用のファームウェアバージョン 1.1.00.48 をリリースし、この脆弱性に対応している。影響を受けるルーターのユーザーに推奨されるのは、できるだけ早くファームウェアを最新バージョンに更新することだ。
また、DGN2200 v1 ルーターはサポートが終了しており、アップデートは提供されていない。これらのルーターのユーザーに対しては、新しいモデルへの交換が推奨される。
NETGEAR DGN1000 ルーターに脆弱性があり、PoC である Metasploit モジュールがリリースされているとのことです。以前から悪用されている脆弱性ですので、ご利用のチームは、十分に ご注意ください。よろしければ、NETGEAR で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.