CVE-2024-12847 es una vulnerabilidad crítica (CVSS 9.8) que afecta a los routers NETGEAR, explotada activamente en entornos reales al menos desde 2017. El fallo permite a atacantes remotos obtener acceso no autorizado a los dispositivos vulnerables sin necesidad de autenticación, lo que conlleva riesgos significativos como el control total del dispositivo, la vulneración de la red y la exposición de datos. La publicación de un módulo de Metasploit aumenta aún más la probabilidad de una explotación generalizada.
Dispositivos afectados:
- NETGEAR DGN1000: Versiones de firmware inferiores a la 1.1.00.48
- NETGEAR DGN2200 v1: Todas las versiones de firmware (sin soporte técnico)
Otros dispositivos podrían estar afectados, pero las pruebas no están completas.
| Producto | Netgear-Router |
| Fecha | 2025-01-13 13:20:19 |
| Información |
|
Resumen técnico
La vulnerabilidad se deriva de controles de autenticación inadecuados en el servidor web integrado del dispositivo. En particular, las URL que contienen la subcadena currentsetting.htm omiten los controles de autenticación, permitiendo la interacción con servicios backend sensibles. Los atacantes pueden explotar el endpoint setup.cgi para ejecutar comandos arbitrarios. Por ejemplo:
http://<target-ip-address>/setup.cgi?next_file=netgear.cfg&todo=syscmd&cmd=cat+/www/.htpasswd&curpath=/¤tsetting.htm=1
Esta URL manipulada permite a un atacante recuperar el archivo /www/.htpasswd que contiene la contraseña en texto plano del usuario administrador. La función syscmd del script setup.cgi ejecuta comandos arbitrarios, haciendo trivial la ejecución remota de código.
Recomendaciones
- NETGEAR DGN1000: Actualizar inmediatamente a la versión de firmware 1.1.00.48 o superior.
- NETGEAR DGN2200 v1: Dado que el soporte ha finalizado, se recomienda a los usuarios reemplazar el dispositivo por un modelo más reciente y con soporte.
- Buenas prácticas generales:
- Deshabilitar la gestión remota salvo en casos estrictamente necesarios.
- Limitar el acceso público a las interfaces de gestión del router mediante firewall.
- Actualizar regularmente el firmware del router y verificar la configuración de la red.
[Callforaction-THREAT-Footer]