Nem szerencsés az a felállás sem, ahol az alapértelmezett admin jelszót változatlanul hagyják, ezt például a Mirai botnet korábban eredményesen ki is használta. Most egy biztonsági kutató, bizonyos Simon Kenin blogjában arra hívta fel a figyelmet, hogy több tucat fajta Netgear útválasztóban lehet egy új súlyos biztonsági rés.
Ennek lényege, hogy egy webes kérés indítása után az admin jelszó félbeszakított helyreállítási művelete során egy trükkel mégis kinyerhető az adminisztrátori jelszó. Ha a Remote Management engedélyezve van az eszközben, akkor pedig mindez egy távoli támadó számára is lehetséges, szerencsére ez az opció alapértelmezetten tiltott a beállításoknál. Becslések szerint még így is számos helyen lehet manuálisan engedélyezve a távoli menedzsment, illetve több százezer lehet azoknak a Netgear routereknek a száma, amelyek a fent ismertetett jelszó lopást lehetővé tevő sebezhetőséggel eredményesen támadhatóak.
A kutató egy listát is közölt a szerinte sebezhető routerek típusáról, bár sokak szerint ennél több típusú eszköz érintett a problémában. Sokaknak emlékezetes lehet, hogy még 2016. decemberében egy másik kihasználható sérülékenységgel kapcsolatban a CERT is figyelmeztette a Netgear 6400, 7000, és 8000 felhasználókat. Ott egy távoli támadó jogosulatlanul tetszőleges parancsokat volt képes root jogokkal futtatni az érintett routereken, ami roppant komoly hiba.
Emiatt aztán a CERT is kellően sarkosan adott tanácsot az ügyben: "Users who have the option of doing so should strongly consider discontinuing use of affected devices until a fix is made available."
Összefoglalva akkor a routerekkel kapcsolatos védekezéshez fontos dolgokat: érdemes a router beállításokat ellenőrizni, erős titkosítást, erős egyedi jelszavakat választani, emellett pedig a firmware frissítéseknek is erősen ajánlott utánanézni, és elvégezni.
Súlyos hiba a Netgear routerekben
Vannak elemi dolgok, amiket egy új router üzembeállítása esetén illik megtenni. Például új egyedi admin belépési adatokat választani, legalább WPA2-re állítani a forgalom titkosítását, megfelelő internetes jelszót használni hozzá, és persze stratégailag a "network error" is jobb SSID név, mint a "Dr. Kovács III. 2." Sokan sajnos ennyit sem tesznek meg, nem is beszélve az esetleges hibajavító firmware frissítésekről, tegye fel a kezét, aki ez utóbbiak megjelenését rendszeresen szokta ellenőrizni!