esenfrdeitptru

CVE-2021-34991 vulnerabilidad de ejecución remota de código que afecta a equipos Netgear

AS-114-2021

Fecha:18/Nov/2021

Resumen:

Varios equipos de networking de la empresa Netgear son vulnerables a ejecución remota de código, el fallo puede ser explotado a través de la red por los atacantes, permitiéndoles tomar control de los sistemas afectados.

Con un puntaje de 8.8 en CVSS3.1 y etiquetado con el CVE-2021-34991, se describe al bug como un desbordamiento del buffer de pre-autenticación que reside en la funcionalidad de Universal Plug and Play (UPnP), lo que ocasiona que un atacnte pueda ejecutar código de forma remota con los más altos privilegios.

Específicamente, la vulnerabilidad se produce debido a que el demonio UPnP acepta peticiones no autenticadas de HTTP SUBSCRIBE y UNSUBSCRIBE, que son eventos de alertas de notificación de los dispositivos para recibir notificaciones de otros dispositivos cuando las configuraciones de estos últimos cambian.

De acuerdo al investigador de seguridad Adam Nichols, de GRIMM, existe un fallo de desbordamiento de memoria en la funcionalidad de las peticiones HTTP UNSUBSCRIBE, lo que permite que un adversario ejecute una solicitud maliciosa en el equipo afectado, permitiéndole incluso resetear la contraseña del administrador. Con la contraseña reseteada, el atacante puede cambiar las configuraciones para lanzar otros ataques al servidor web.

El fabricante Netgear publicó los parches correspondientes, por lo que se recomienda su aplicación inmediata.

Referencias:

https://kb.netgear.com/000064361/Security-Advisory-for-Pre-Authentication-Buffer-Overflow-on-Multiple-Products-PSV-2021-0168

https://nvd.nist.gov/vuln/detail/CVE-2021-34991

https://thehackernews.com/2021/11/critical-root-rce-bug-affects-multiple.html