Vulnerabilidad en enrutadores Netgear expone a los usuarios a ataques de ejecución remota de código

Especialistas en ciberseguridad reportan el hallazgo de una vulnerabilidad crítica en múltiples enrutadores de la compañía tecnológica Netgear. Acorde al reporte, la explotación exitosa de esta falla permitiría a los actores de amenazas la ejecución de código arbitrario en los dispositivos comprometidos.

A continuación se presenta un reporte detallado de la falla reportada, además de su clave de identificación CVE y su puntaje de severidad acorde al Common Vulnerability Scoring System (CVSS).

Identificada como CVE-2021-27239, esta falla de seguridad existe debido a un error de límite en el servicio upnpd de los enrutadores comprometidos. Los actores de amenazas remotos no autenticados en la red local pueden usar un campo de encabezado MX especialmente diseñado en un mensaje SSDP para desencadenar un desbordamiento de búfer basado en pila, llevando a la ejecución de código arbitrario en el sistema objetivo.

La falla recibió un puntaje CVSS de 7.7/10 y su explotación exitosa permitiría el compromiso total del sistema objetivo, por lo que los expertos en ciberseguridad recomiendan seguir al pie de la letra las recomendaciones relacionadas con este reporte.

A continuación se muestra una lista de las implementaciones de software vulnerables:

• D6220: anteriores a 1.0.0.68
• XR300: anteriores a 1.0.3.56
• WNR3500Lv2: anteriores a 1.2.0.66
• WNDR3400v3: anteriores a 1.0.1.38
• RS400: anteriores a 1.5.0.68_hotfix
• RBS850: anteriores al 3.2.17.12
• RBS750: anteriores al 3.2.17.12
• RBS40V: anteriores a 2.6.2.4
• RBR850: anteriores al 3.2.17.12
• RBR750: anteriores al 3.2.17.12
• RAX80: anteriores a 1.0.3.102
• RAX75: anteriores a 1.0.3.102
• RAX200: anteriores a 1.0.2.88
• R8500: anteriores a 1.0.2.144
• R8300: anteriores a 1.0.2.144
• R8000P: anteriores a 1.4.1.68
• R8000: anteriores a 1.0.4.68
• R7960P: anteriores a 1.4.1.68
• R7900P: anteriores a 1.4.1.68
• R7900: anteriores a 1.0.4.38
• R7850: anteriores a 1.0.5.68
• R7100LG: anteriores a 1.0.0.64
• R7000P: anteriores a 1.3.2.132
• R7000: anteriores a 1.0.11.116
• R6900P: anteriores a 1.3.2.132
• R6700v3: anteriores a 1.0.4.102
• R6400v2: anteriores a 1.0.4.102
• R6400: anteriores a 1.0.1.68
• R6300v2: anteriores a 1.0.4.50
• R6250: anteriores a 1.0.4.48
• EX7500: anteriores a 1.0.0.72
• EX7000: anteriores a 1.0.1.94
• DC112A: anteriores a 1.0.0.54
• D8500: anteriores a 1.0.3.60
• D6400: anteriores a 1.0.0.102
• D7000v2: anteriores a 1.0.0.66

Si bien esta falla puede ser explotada por actores de amenazas remotos no autenticados a través de la red local, los expertos en ciberseguridad no han reportado intentos de explotación activa o la existencia de variantes de malware asociadas al ataque.

La vulnerabilidad ya fue corregida, por lo que se recomienda a los usuarios de implementaciones afectadas actualizar a la brevedad. Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).