samedi 8 août 2020
Promotion Meilleur VPN 2020
Accueil Alertes Netgear de nouveau touché par une vulnérabilité critique

Netgear de nouveau touché par une vulnérabilité critique

De nouveau, c’est une trentaine de produits Netgear qui sont touchés par une vulnérabilité critique, permettant à un attaquant de récupérer à distance le précieux mot de passe administrateur. Alerte !

Alors que la dernière alerte de sécurité concernant des produits Netgear remonte à décembre 2016, voila que l’année 2017 débute bien mal pour le fabriquant d’équipements réseaux. En effet, une trentaine de produits seraient à haut risque de piratage suite à la découverte d’une nouvelle faille de sécurité jugée critique.

Cette nouvelle faille a été identifiée sous la référence CVE-2017-5521 et permet, sous certaines conditions, de récupérer le mot de passe administrateur d’un routeur vulnérable, ce qui ouvre en grand la porte du réseau à l’attaquant pootentiel. Trustwave a publié un billet de blog, qui est confirmé par un bulletin de sécurité de Netgear.

La condition pour que l’exploitation soit possible est la suivante : l’option de récupération de mot de passe doit être désactivée dans la configuration de l’équipement concerné et l’option “remote management” doit être activée. Si cela est le cas, tout se joue sur le processus de récupération de mot de passe par le biais d’un jeton. C’est ici que se situe la faille. Il suffit de se rendre sur la page « /passwordrecovered.cgi?id=TOKEN », TOKEN correspondant au jeton récupéré. Simple et rapide…

Le constructeur dresse une liste complète des produits touchés par cette vulnérabilité ainsi que les liens vers la mise à jour du firmware qui la corrige :

La procédure de mise à jour est expliquée ici. Par contre, aucune mise à jour pour certains équipements, à savoir :

  • R6200
  • R6300
  • VEGN2610
  • AC1450
  • WNR1000v3
  • WNDR3700v3
  • WNDR4000
  • WNDR4500
  • D6300
  • D6300B
  • DGN2200Bv4
  • DGN2200v4

Netgear s’est engagé à proposer des mises à jour rapides lorsque des vulnérabilités sont découvertes ainsi qu’à mettre en place un programme de Bug Bounty. Ce dernier est déjà actif via bugcrowd (récompense entre 150 et 15 000 dollars selon la faille).

 

Source : NextInpact

UnderNewshttps://www.undernews.fr/
Administrateur et fondateur du site UnderNews

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

- Advertisment -Express VPN

Derniers articles

Vacances d’été : profitez-en pour faire du ménage dans votre vie numérique

Après une longue période de confinement, et avant les vacances d’été, c’est le moment idéal pour effectuer un grand nettoyage ! Cela concerne aussi bien nos placards que notre vie numérique. Petit tour d'horizon et conseils pour se débarrasser de vos déchets  numériques.

36% des Millenials se moquent de la sécurité en ligne

La sécurité en ligne s’impose comme le facteur le plus important pour les Millenials lorsqu’on parle d’usages numériques à la maison. Pourtant, si cette...

Le VPN sans logs d’HMA adoubé par VerSprite, société indépendante de conseil en cyber-risque

La politique de non-collecte et de non-conservation des données d’HMA a reçu la meilleure note possible, suite à l’évaluation des facteurs relatifs à la vie privée indépendante.

Nom d’entreprise : comment réussir à trouver le meilleur ?

L’un des plus grands casse-têtes des nouveaux entrepreneurs est de choisir un nom qui accroche et vend en même temps leurs produits ou services. Élément de l’identité individuelle de l’entreprise, il reflète l’originalité et la philosophie de celle-ci. Vous vous demandez comment bien choisir un nom pour votre entreprise ? Voici quelques conseils.