Security Affairsは2021年3月14日(米国時間)、「Experts found 15 flaws in Netgear JGS516PE, including a critical RCESecurity Affairs」において、NetgearのEthernetスイッチ製品である「 JGS516PE」に複数の脆弱性が報告され、同社が対策版のファームウェアをリリースしたことを伝えている。これらの脆弱性を悪用されると、攻撃者によってリモートから任意のコードを実行されたり、認証を回避されたりするなどの被害を受ける危険性があるとのことだ。
記事によれば、NetgearはJGS516PEのファームウェアに対して15件の脆弱性の修正を含むアップデートをリリースしたという。対象の脆弱性は情報セキュリティ企業のNCC Groupの研究者によって報告されたもので、そのほとんどは古い管理ツールであるProsafe Plusを利用できるようにするためのNSDP(Netgear Switch Discovery Protocol)プロトコルに関連したものだという。
詳細はNCC Groupが公開した次のテクニカルアドバイザリにまとめられている。
15件のうち最も深刻とされているのがCVE-2020-26919として認定されているスイッチ内部の管理Webアプリケーションに存在する脆弱性で、悪用されると攻撃者が認証をバイパスして管理者権限でアクションを実行できるという。脆弱性の深刻度を表すCVSS v3のスコアは9.8で、5段階中最も高い「緊急(Critical)」に分類されている。
そのほか、特定の状況下でNSDP認証を回避できるCVE-2020-35231や、外部の攻撃者が管理者権限を必要とせずにカスタムファームウェアのファイルを端末にアップロードできるCVE-2020-35220など、深刻度「重要(High)」の脆弱性が9件、深刻度「警告(Medium)」の脆弱性が5件報告されている。
Netgearは2020年12月2日にこれらの脆弱性を修正したファームウェアv2.6.0.48をリリースしている。NCC Groupによるテクニカルアドバイザリは、Netgearとの調整を経て作成され、2021年3月8日に公開された。対象となるデバイスを利用しているユーザーは、上記のアドバイザリを確認した上で、ファームウェアを最新版にアップデートするなど必要な対策を実施することが推奨されている。