En säkerhetsforskare fann en kritisk sårbarhet i Arris-routrar – som kan låta vem som helst med inloggningsåtkomst utnyttja den för attacker med fjärrkodexekvering (RCE).
Även om den behöver första åtkomst till routern, varnar forskaren för det faktum att de flesta människor inte ändrar sina standarduppgifter – vilket utsätter dem för risker. Arris erkände hans rapport men förnekade att skydda dem med lämpliga uppdateringar eftersom de körs på uttjänta firmwareversioner.
Dumpningsstöd sedan inaktuellt
Routrar, som är en viktig del av lokala nätverkslösningar, bör skyddas med lämpliga säkerhetsåtgärder för att hålla anslutningarna pålitliga över hela nätverket. Men både OEM-tillverkare och användare förkastar ofta denna princip av flera skäl.
Här är en sådan berättelse om Arris – som rapporterats av en säkerhetsforskare vid namn Yerodin Richards. Arris-routrar som körs på en firmwareversion 9.1.103 är sårbara för RCE-attacker – på grund av en autentiserad bugg, spårad som CVE-2022-45701. Han avslöjade detta på ett ansvarsfullt sätt för OEM och delade nu med sig av dess proof-of-Concept-kod för exploatering.
Även om det behöver en första autentisering, visade Richards hur en osäker verifieringsmetod ironiskt nog kunde användas mot användare. Utnyttjandet av denna bugg är beroende av det faktum att de flesta människor inte ändrar sina standardrouterreferenser – bara för att de är för lata eller ingen har sagt till dem tillräckligt starkt för att ändra dem för att de ska må bra.
Om inte, kan autentiserade användare utnyttja den underliggande buggen för att anropa en fjärrkörningsförmåga – och utföra vilken skadlig operation de vill. Richards noterade att Arris-routrarna TG2482A, TG2492 och SBG10-modellerna påverkas av dettasom mestadels ses i Karibien och Latinamerika, vanligtvis utlånade av Internetleverantörer för telefoni och internetanslutningar.
Han informerade Arris om sina fynd – men företaget nekade att betjäna dem med nödvändiga patchar med hänvisning till deras end-of-life (EOL) period! Detta utsätter alla användare av de ovan nämnda routermodellerna i riskzonen, vilket gör dem till ett perfekt mål för Mirai botnet-liknande tjänster, som riktar sig mot sårbara enheter med standarduppgifter.
Tja, den enda pålitliga lösningen, enligt forskare, är att – vilket inte på något sätt är en enkel lösning för en normal användare. Därför är de allmänna åtgärderna du kan utföra nu att ändra lösenordet till ett starkt och fortsätta leta efter eventuellt skadligt beteende i dina nätverksanslutningar.
