BDU:2021-06166: Уязвимость встроенного программного обеспечения маршрутизаторов NETGEAR GC108P, NETGEAR GC108PP, NETGEAR GS108Tv3, NETGEAR GS110TPP, NETGEAR GS110TPv3, NETGEAR GS110TUP, NETGEAR GS308T, NETGEAR GS310TP, NETGEAR GS710TUP, NETGEAR GS716TP, NETGEAR GS716TPP, NETGEAR GS724TPP, NETGEAR GS724TPv2, NETGEAR GS728TPPv2, NETGEAR GS728TPv2, NETGEAR GS750E, NETGEAR GS752TPP, NETGEAR GS752TPv2, NETGEAR MS510TXM, и NETGEAR MS510TXUP, вызванная ошибками синхронизации при использовании общего ресурса, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
Детали уязвимости BDU:2021-06166
Описание
Уязвимость встроенного программного обеспечения маршрутизаторов NETGEAR GC108P, NETGEAR GC108PP, NETGEAR GS108Tv3, NETGEAR GS110TPP, NETGEAR GS110TPv3, NETGEAR GS110TUP, NETGEAR GS308T, NETGEAR GS310TP, NETGEAR GS710TUP, NETGEAR GS716TP, NETGEAR GS716TPP, NETGEAR GS724TPP, NETGEAR GS724TPv2, NETGEAR GS728TPPv2, NETGEAR GS728TPv2, NETGEAR GS750E, NETGEAR GS752TPP, NETGEAR GS752TPv2, NETGEAR MS510TXM, и NETGEAR MS510TXUP вызвана ошибками синхронизации при использовании общего ресурса. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации в результате привязки только к исходному IP-адресу многоэтапного процесса HTTP-аутентификации
Что делать с BDU:2021-06166
Высокая уязвимость (CVSS 7.1) должна быть устранена в приоритетном порядке. Рекомендуемый срок — 7 дней по приказу ФСТЭК №117. Проверьте список затронутого ПО ниже и запланируйте обновление.
Используйте калькулятор CVSS для пересчёта с учётом вашей среды. Автоматизируйте мониторинг через модуль БДУ ФСТЭК в КиберОснова.
Оценка критичности (CVSS)
AV:A/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:HAV:A/AC:M/Au:S/C:C/I:C/A:CCVE — международный идентификатор
Механизм аутентификации можно обойти или он неправильно реализован. Позволяет несанкционированный доступ.
Как атакуют и что делать ▾
Сценарий атаки
Механизм аутентификации обходится: SQL-инъекция в логине, предсказуемые токены, отсутствие проверки подписи JWT.
Последствия
Полный несанкционированный доступ к системе под любой учётной записью.
Рекомендации
Используйте проверенные библиотеки аутентификации, MFA, не изобретайте свою криптографию.
Тактики и техники
Уязвимое ПО (19)
| Вендор | Название | Версия | Платформа |
|---|---|---|---|
| NETGEAR | GC108P | до 1.0.8.2 | Не указана |
| NETGEAR | GC108PP | до 1.0.8.2 | Не указана |
| NETGEAR | GS108Tv3 | до 7.0.7.2 | Не указана |
| NETGEAR | GS110TPP | до 7.0.7.2 | Не указана |
| NETGEAR | MS510TXUP | до 1.0.4.2 | Не указана |
| NETGEAR | MS510TXM | до 1.0.4.2 | Не указана |
| NETGEAR | GS752TPv2 | до 6.0.8.2 | Не указана |
| NETGEAR | GS752TPP | до 6.0.8.2 | Не указана |
| NETGEAR | GS750E | до 1.0.1.10 | Не указана |
| NETGEAR | GS728TPv2 | до 6.0.8.2 | Не указана |
| NETGEAR | GS728TPPv2 | до 6.0.8.2 | Не указана |
| NETGEAR | GS724TPv2 | до 2.0.6.3 | Не указана |
| NETGEAR | GS724TPP | до 2.0.6.3 | Не указана |
| NETGEAR | GS716TPP | до 1.0.4.2 | Не указана |
| NETGEAR | GS716TP | до 1.0.4.2 | Не указана |
| NETGEAR | GS710TUP | до 1.0.5.3 | Не указана |
| NETGEAR | GS310TP | до 1.0.3.2 | Не указана |
| NETGEAR | GS308T | до 1.0.3.2 | Не указана |
| NETGEAR | GS110TUP | до 1.0.5.3 | Не указана |
Рекомендации по устранению
Использование рекомендаций: https://kb.netgear.com/000063978/Security-Advisory-for-Multiple-Vulnerabilities-on-Some-Smart-Switches-PSV-2021-0140-PSV-2021-0144-PSV-2021-0145
SLA ФСТЭК №117
7 дней
по базовой оценке CVSS 7.1
Уточните SLA под вашу среду
Базовый балл 7.1 не учитывает инфраструктуру. Задайте Environmental-метрики (CR/IR/AR) в калькуляторе — SLA пересчитается автоматически.
Пересчитать CVSS с учётом средыThreat Intelligence
SSVC: Отслеживать (повышенный)
Умеренный риск. Включите в плановый цикл обновлений, следите за изменением EPSS.
Вероятность эксплуатации в 30 дней (FIRST EPSS)
Информация
Обнаружена
2021-09-03
Опубликована
2021-12-17
Обновлена
2021-12-17
Эксплойт
Существует в открытом доступе
Исправление
Уязвимость устранена
Статус
Подтверждена производителем
Управляйте уязвимостями, а не таблицами
Платформа автоматически подтягивает новые записи из БДУ, привязывает к вашим активам и считает SLA по приказу №117 — без ручного мониторинга.
- Уязвимости → активы → ответственные — цепочка за минуту
- SLA-таймеры и эскалация — дедлайны не горят
- PDF-отчёт для ФСТЭК — за один клик
Связанные уязвимости
Что добавляет КиберОснова к данным БДУ ФСТЭК
CVSS v4.0 + калькулятор
Единственный бесплатный калькулятор CVSS v4.0 на русском языке
SLA по приказу №117
Автоматический расчёт сроков устранения: 24ч, 7дн, 30дн
EPSS + CISA KEV
Оценка вероятности эксплуатации и статус активных атак
Полнотекстовый поиск
По названию, CVE, CWE, описанию — русский и английский
Связанные уязвимости
Автоматический подбор по затронутому ПО
Мобильная версия
Адаптивный интерфейс для работы с телефона и планшета
Автоматизируйте управление уязвимостями
КиберОснова SGRC: БДУ ФСТЭК + CVSS + SLA по приказу №117 в одном интерфейсе.