Critical NETGEAR Router Flaw Enables Full Admin Access via Hidden Backdoor (PoC Included)
2025/05/23 SecurityOnline — NETGEAR DGND3700v2 ルーターに、新たな脆弱性 CVE-2025-4978 (CVSSv4:9.3) が発見された。この脆弱性の悪用に成功した、未認証のリモート攻撃者は、ログイン認証の完全なバイパスを達成し、ルーターの Web インターフェイスにバックドアのようなものが埋め込まれていれば、短時間で管理者アクセスを得るという。
この脆弱性を発見したセキュリティ研究者の at0de は、「認証を必要としない “/BRS_top.html” へとアクセスすると、内部フラグ “start_in_blankstate” が “1” に設定され、HTTP Basic 認証のチェックが無効化される」と説明している。
この脆弱性は、ルーターに組み込まれた mini_http サーバ (デバイスの管理インターフェイス提供する軽量 HTTP デーモン) に存在する。上記のとおり、エンドポイント “/BRS_top.html” は、認証を必要とすることなくアクセスが可能であり、このページがトリガーされると、”start_in_blankstate” という内部変数が “1” に設定される。
at0de の技術解析レポートには、「”start_in_blankstate=1″ の状態では、認証プロセスがスキップされ、脅威アクターは、アクセス権を必要とすることなく、すべての機能へとアクセスできるようになる。これは、実質的に、バックドアと言えるだろう」と述べている。
その後に、このフラグは、認証ロジックを処理する関数 sub_404930 で使用される。フラグが有効化されていると、HTTP Basic 認証チェックが完全にバイパスされる。この挙動を悪用する攻撃者は、ユーザー名やパスワードを必要とせずに、ルーターのコンフィグ画面への完全なアクセス権を取得するという。このコンフィグ画面に取り込まれる情報には、ネットワーク設定/認証情報/ファイアウォール構成/保存されている可能性のある VPN や Wi-Fi 情報などがある。
脆弱性 CVE-2025-4978 が影響を及ぼす範囲は、ファームウェアのバージョン V1.1.00.15_1.00.15NA を実行する NETGEAR DGND3700v2 である。この脆弱性の影響は深刻であり、ローカル・ネットワークからのアクセスや、リモート管理が有効化されている場合には、数秒でデバイスを掌握できる可能性を、攻撃者は手にする。
その結果として、攻撃者は以下のような悪用が可能になる:
- DNS 設定の改竄と、トラフィックのリダイレクト
- マルウェアの持続的なインストール
- 接続されたデバイスからの認証情報の収集
- ファイアウォールやペアレンタル・コントロールなどの、セキュリティ機能の無効化
この脆弱性のトリガーは、きわめて容易であり、認証が一切不要なため、一般ユーザーや小規模企業にとって重大なリスクとなる。
すでに NETGEAR は、ファームウェア・バージョン 1.1.00.26 で、この脆弱性を修正している。
この記事の冒頭に、「バックドアのようなもの」という一言があり、最初は文脈が掴めませんでしたが、特定のエンドポイントへのアクセスにより、バックドアが開かれたも同然という状況に陥ることが分かりました。なんというか、どうぞ侵入してくださいという感じのバグですね。ご利用のチームは、ご注意ください。よろしければ、NETGEAR で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.