NETGEARは9月3日(現地時間)、「Security Advisory for Multiple Vulnerabilities on Some Smart Switches, PSV-2021-0140, PSV-2021-0144, PSV-2021-0145」において、同社が提供している一部のスマートスイッチ製品に複数の脆弱性が報告され、修正版のファームウェアをリリースしたとアナウンスした。これらの脆弱性を悪用されると、攻撃者が認証機能を回避して対象のデバイスを制御できる危険性がある。

影響を受ける製品は以下のとおり。それぞれ、ファームウェアを最新版にアップデートすることで脆弱性の影響を回避することができる。

  • GC108P(ファームウェアバージョン1.0.8.2で修正)
  • GC108PP(ファームウェアバージョン1.0.8.2で修正)
  • GS108Tv3(ファームウェアバージョン7.0.7.2で修正)
  • GS110TPP(ファームウェアバージョン7.0.7.2で修正)
  • GS110TPv3(ファームウェアバージョン7.0.7.2で修正)
  • GS110TUP(ファームウェアバージョン1.0.5.3で修正)
  • GS308T(ファームウェアバージョン1.0.3.2で修正)
  • GS310TP(ファームウェアバージョン1.0.3.2で修正)
  • GS710TUP(ファームウェアバージョン1.0.5.3で修正)
  • GS716TP(ファームウェアバージョン1.0.4.2で修正)
  • GS716TPP(ファームウェアバージョン1.0.4.2で修正)
  • GS724TPP(ファームウェアバージョン2.0.6.3で修正)
  • GS724TPv2(ファームウェアバージョン2.0.6.3で修正)
  • GS728TPPv2(ファームウェアバージョン6.0.8.2で修正)
  • GS728TPv2(ファームウェアバージョン6.0.8.2で修正)
  • GS750E(ファームウェアバージョン1.0.1.10で修正)
  • GS752TPP(ファームウェアバージョン6.0.8.2で修正)
  • GS752TPv2(ファームウェアバージョン6.0.8.2で修正)
  • MS510TXM(ファームウェアバージョン1.0.4.2で修正)
  • MS510TXUP(ファームウェアバージョン1.0.4.2で修正)
  • Security Advisory for Multiple Vulnerabilities on Some Smart Switches、PSV-2021-0140、PSV-2021-0144、PSV-2021-0145

    Security Advisory for Multiple Vulnerabilities on Some Smart Switches, PSV-2021-0140, PSV-2021-0144, PSV-2021-0145

本件について伝えているThe Hacker Newsの以下の記事によると、今回修正された脆弱性はいずれも認証に関連した3件で、GoogleのセキュリティエンジニアであるGynvael Coldwind氏によって発見され、ネットギアに報告されたものだという。

3件の脆弱性には、それぞれ次のコードネームが付けられている。CVEの追跡番号はまだ割り当てられていない。

  • Demon's Cries
  • Draconian Fear
  • Seventh Inferno

Demon's Criesは認証バイパスの脆弱性で、SCCコントロールを有効にしている場合(デフォルトでは無効)、攻撃者が管理者アカウントのパスワードを変更できる可能性があるという。CVSS v3のベーススコアは9.8で、深刻度「Critical(緊急)」に分類されている。

Draconian Fearは認証ハイジャックの脆弱性で、ログインしている管理者と同じIPを持つ攻撃者が、セッションの起動情報をハイジャックしてセッションを乗っ取ることができるというもの。その結果、攻撃者はデバイスのウェブUIに対する完全な管理者権限を奪い取ることができるという。CVSS v3のベーススコアは7.8で、深刻度「重要(Important)」に分類されている。

Seventh Infernoの詳細は本稿執筆時点では明らかにされておらず、2021年9月13日以降に公開される予定となっている。

Netgearでは、影響を受ける製品を利用しているユーザーに対して、できるだけ早く最新のファームウェアを適用することを強く推奨している。