8827太阳集团

首页 > 安全钻研 > 安全传递 > 安全公告

【缝隙公告】Netgear智能互换机9月多个安全缝隙

颁布功夫 2021-09-07

0x00 缝隙概述

Netgear（美国网件公司）是全球当先的企业网络解决规划提供商和数字家庭网络利用提倡者，，，，，，，为全球商用企业用户和家庭幼我用户提供轻便的高质量网络解决规划。。。。。。。。同时，，，，，，，Netgear也在为全球顶级运营商提供网络产品，，，，，，，以援手运营商为其用户构建数字家庭。。。。。。。。

2021年9月3日，，，，，，，Netgear颁布安全布告，，，，，，，建复了其多种产品（重要为智能互换机）中的3个安全缝隙，，，，，，，攻击者可能会滥用这些缝隙来节造受影响的设备。。。。。。。。

0x01 缝隙详情

Netgear 将这些缝隙鉴别为 PSV-2021-0140、PSV-2021-0144和PSV-2021-0145，，，，，，，目前暂未分配CVE编号。。。。。。。。这3个缝隙的代号别离为:

Demon's Cries

该缝隙为身份验证绕过缝隙，，，，，，，其CVSSv3评分为8.8/9.8。。。。。。。。攻击者能够利用此缝隙节造易受攻击的设备，，，，，，，但要利用此缝隙，，，，，，，必要Netgear 智能节造中心 (SCC) 职能处于活动状态，，，，，，，而默认配置中已将其关关。。。。。。。。目前此缝隙的PoC/EXP已经公开。。。。。。。。

Draconian Fear

该缝隙为身份验证劫持缝隙，，，，，，，其CVSSv3评分为7.8。。。。。。。。该缝隙必要与治理员一样的本地 IP 地址来劫持会话疏导信息，，，，，，，成功利用此缝隙的攻击者将占有对设备 Web 用户界面的治理员接见权限，，，，，，，从而齐全节造设备。。。。。。。。该缝隙的攻击向量为本地，，，，，，，攻击复杂度低，，，，，，，且无需用户交互。。。。。。。。目前此缝隙的PoC/EXP已经公开。。。。。。。。

Seventh Inferno

该缝隙的具体信息将于 9 月 13 日或之后颁布，，，，，，，目前尚未公开。。。。。。。。

0x02 措置建议

目前NETGEAR 已针对以下产品型毫髋赡多个安全缝隙颁布了补丁�。。。。。。。�，，，，建议使用以下受影响型号的用户实时升级更新至最新版本：

GC108P（最新固件版本：1.0.8.2）

GC108PP（最新固件版本：1.0.8.2）

GS108Tv3（最新固件版本：7.0.7.2）

GS110TPP（最新固件版本：7.0.7.2）

GS110TPv3（最新固件版本：7.0.7.2）

GS110TUP（最新固件版本：1.0.5.3）

GS308T（最新固件版本：1.0.3.2）

GS310TP（最新固件版本：1.0.3.2）

GS710TUP（最新固件版本：1.0.5.3）

GS716TP（最新固件版本：1.0.4.2）

GS716TPP（最新固件版本：1.0.4.2）

GS724TPP（最新固件版本：2.0.6.3）

GS724TPv2（最新固件版本：2.0.6.3）

GS728TPPv2（最新固件版本：6.0.8.2）

GS728TPv2（最新固件版本：6.0.8.2）

GS750E（最新固件版本：1.0.1.10）

GS752TPP（最新固件版本：6.0.8.2）

GS752TPv2（最新固件版本：6.0.8.2）

MS510TXM（最新固件版本：1.0.4.2）

MS510TXUP（最新固件版本：1.0.4.2）

下载链接：

https://www.netgear.com/support/

0x03 参考链接

https://kb.netgear.com/000063978/Security-Advisory-for-Multiple-Vulnerabilities-on-Some-Smart-Switches-PSV-2021-0140-PSV-2021-0144-PSV-2021-0145

https://thehackernews.com/2021/09/critical-auth-bypass-bug-affect-netgear.html

https://www.bleepingcomputer.com/news/security/netgear-fixes-severe-security-bugs-in-over-a-dozen-smart-switches/

https://gynvael.coldwind.pl/?id=740

https://gynvael.coldwind.pl/?id=741

0x04 更新版本

版本	日期	批改内容
V1.0	2021-09-07	初次颁布

0x05 文档附录

CNVD：www.cnvd.org.cn

CNNVD：www.cnnvd.org.cn

CVE：cve.mitre.org

CVSS：www.first.org

NVD：nvd.nist.gov

0x06 关于8827太阳集团

关注以下公家号，，，，，，，获取更多资讯：

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子

司法申明

Copyright ? 8827太阳集团版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】