資安研究人員指出,該漏洞存於 Netgear Switch Discover Protocol 之內;研究人員發現一種可以跳過其登入驗證程序的方法,不過駭侵者必須先進入企業內部網路,才能利用這個漏洞。
Draconian Fear 的 CVSS 分數為 7.4 分,駭侵者如果與管理者使用同一個 IP,或假造一個和管理者相同的登入用 IP,即可攔截 Netgear 交換器 web 界面傳送的資訊封包,並且利用其來源檢查的漏洞,進入管理介面之中。
研究人員尚未針對第三個漏洞 Seventh Inferno 推出詳細分析,不過 Netgear 已針對旗下二十種受到這批漏洞影響的機種,推出更新版本的韌體;使用 Netgear 交換器的用戶,應依照 Netgear 資安通報的說明,檢查交換器的型號與版本是否列入受影響名單之列,並且儘速更新。
- 影響產品/版本:參見 Netgear 資安通報
- 解決方案:更新至最新版本韌體
相關連結
- TWCERT/CC
- Security Advisory for Multiple Vulnerabilities on Some Smart Switches, PSV-2021-0140, PSV-2021-0144,
- Demon’s Cries vulnerability (some NETGEAR smart switches)
- Draconian Fear vulnerability (some NETGEAR smart switches)
- Draconian Fear vulnerability (some NETGEAR smart switches)
- Netgear Smart Switches Open to Complete Takeover