聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

思科Talos团队发布了Netgear Orbi 740系列路由器和扩展卫星中多个漏洞的PoC exploit，其中一个漏洞是严重的远程命令执行漏洞。

Netgear Orbi 是适用于家庭用户的流行网络无线网格系统，可同时最多为5000至1.25万平方英尺之间的空间的40台联网设备提供强大的覆盖率和吞吐量。

思科研究人员在2022年8月30日向Netgear 报告，并督促用户将固件升级至2023年1月19日发布的最新版本4.6.14.3。

Orbi 漏洞

第一个也是最严重的漏洞是CVE-2022-37337（CVSS评分9.1），是位于Netgear Orbi 路由器访问控制功能中的一个可利用命令执行漏洞。攻击者可利用公开可访问的管理控制台，向该易受攻击的路由器发送特殊构造的HTTP请求，在设备上执行任意命令。

第二个漏洞是CVE-2022-38452，是位于路由器telnet服务中的高危远程命令执行漏洞，该漏洞的利用要求合法凭据和MAC地址。这是Netgear公司在一月固件更新中发布的四个漏洞中唯一一个没有修复的漏洞，因此目前尚未修复。

第三个漏洞是CVE-2022-36429，是位于Netgear Orbi 卫星后端通信功能中的一个高危命令注入漏洞，该功能与路由器相连以拓展网络覆盖。攻击者可向设备发送特殊构造的JSON对象序列，利用该漏洞。不过成功攻击需要获取管理员权限。

第四个漏洞CVE-2022-38458是一个影响Netgear Orbi路由器远程管理功能的明文传输问题，可导致中间人攻击，从而导致敏感信息遭泄露。

在发布这些漏洞详情时，思科并未发现它们遭利用的迹象。不过考虑到CVE-2022-37337的PoC已公开，攻击者可尝试查找配置不当且公开可访问的路由器实施利用。

好消息是这些利用要求本地访问权限、合法的登录凭据或要求管理员控制台可公开访问，使得漏洞难以遭利用。然而，从Shodan 快速搜索就可发现近1万台Orbi设备可从互联网公开访问，且多数位于美国。如果用户使用了管理员凭据，则可能遭攻击。

虽然Orbi确实支持自动安装更新，但BleepingComputer表示在一台Orbi设备上新固件并未自动安装，而改设备运行的是在2022年8月发布的软件。因此Netgear Orbi 750系列设备机主应当手动检查运行的是否是最新版本，如不是，则应尽快升级固件。

代码卫士试用地址：https://codesafe.qianxin.com

开源卫士试用地址：https://oss.qianxin.com

推荐阅读

奇安信入选全球《软件成分分析全景图》代表厂商

速修复！Netgear 61款路由器和调制解调器中存在多个严重的预认证RCE漏洞

速修复！Netgear交换机曝3个严重的认证绕过漏洞

Netgear业务交换机被曝15个漏洞，有些不修复

这个严重 0day 可导致79款 Netgear 路由器遭远程接管，无补丁

Netgear修复路由器和交换机中的RCE缺陷

原文链接

https://www.bleepingcomputer.com/news/security/poc-exploits-released-for-netgear-orbi-router-vulnerabilities/

题图：Pexels License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

 觉得不错，就点个 “在看” 或 "赞” 吧~