CVE-2017-6334

Суть уязвимости

Уязвимый скрипт dnslookup.cgi на маршрутизаторах NETGEAR DGN2200 неправильно проверяет пользовательский ввод. Аутентифицированный злоумышленник может внедрить произвольные команды ОС в параметры запроса к этому скрипту, что приведет к их выполнению с привилегиями веб-сервера.

Как исправить

Обновите прошивку маршрутизатора. Уязвимость устранена в версиях прошивки, следующих за 10.0.0.50.

1. Определите текущую версию прошивки через веб-интерфейс (обычно в разделе Advanced > Administration > Router Status).
2. Скачайте последнюю версию прошивки для вашей модели (DGN2200v1, DGN2200v2 и т.д.) с официального сайта NETGEAR в разделе поддержки (Support).
3. В веб-интерфейсе перейдите в раздел Advanced > Administration > Router Update.
4. Загрузите файл прошивки и дождитесь полной перезагрузки устройства.

Важно: Не прерывайте процесс обновления и питание устройства.

Временное решение

Если немедленное обновление невозможно, выполните следующие действия:

1. Ограничьте доступ к веб-интерфейсу управления:

   • В настройках маршрутизатора найдите раздел, связанный с удаленным управлением (например, Remote Management).
   • Отключите доступ к веб-интерфейсу из внешней сети (WAN). Убедитесь, что управление возможно только из локальной сети (LAN).

2. Измените учетные данные по умолчанию:

   • Смените пароль администратора по умолчанию на сложный и уникальный. Это критически важно, так как уязвимость требует аутентификации.

3. Ограничьте доступ к маршрутизатору по сети:

   • В корпоративной среде используйте сегментацию сети. Разместите маршрутизатор в изолированном VLAN, доступ к которому имеют только доверенные административные хосты.
   • Настройте правила межсетевого экрана (Firewall) на вышестоящем устройстве, чтобы блокировать нежелательные входящие подключения к IP-адресу маршрутизатора.