Los investigadores de seguridad revelaron que el firmware de Netgear expuso las claves del certificado TLS, pero SearchSecurity descubrió que no era la primera vez que se informaba el problema al proveedor.
Los investigadores de seguridad revelaron esta semana que los certificados TLS de Netgear con claves están expuestos en el firmware del enrutador inalámbrico, y no era la primera vez que se informaba el problema al proveedor.
A principios de este mes, Nicholas Starke, investigador de amenazas en Aruba Networks, y Tom Pohl, jefe de arquitectura de software en Businessolver, estaban buscando vulnerabilidades en el firmware de Netgear y descubrieron que las claves privadas para los certificados TLS firmados estaban siendo expuestas a través de dicho firmware.
"Las imágenes del firmware que contenían estos certificados junto con sus claves privadas estaban disponibles públicamente para su descarga a través del sitio web de soporte de Netgear, sin autenticación; por lo tanto, cualquier persona en el mundo podría haber recuperado estas claves", indica el informe del error.
Pohl le dijo a SearchSecurity que él y Starke encontraron los certificados TLS expuestos relativamente rápido. "Estaba buscando cualquier cosa que pudiera ayudarnos a buscar vulnerabilidades en el firmware y esto fue lo primero que se me ocurrió después de investigar por un corto período de tiempo", dijo.
Netgear publicó un aviso de seguridad el lunes en respuesta al informe de la vulnerabilidad, que no se adhirió a las prácticas de divulgación responsable . Los productos afectados incluyen enrutadores inalámbricos R8900, R9000, RAX120 y XR700. Debido a que los parches no están disponibles actualmente para el firmware, el proveedor recomendó a los clientes usar la aplicación Netgear Nighthawk o iniciar sesión en la interfaz web de sus enrutadores usando http://routerlogin.com/ en lugar de HTTPS.
"Netgear planea lanzar revisiones de firmware para todos los productos afectados lo antes posible", dijo Netgear en su aviso.
El proceso de divulgación de vulnerabilidades genera dudas
Según su informe, los investigadores descubrieron por primera vez la vulnerabilidad el 14 de enero y enviaron un Tweet tratando de establecer comunicación con Netgear ese mismo día. Netgear mantiene un programa de recompensas de errores a través de Bugcrowd donde los investigadores pueden enviar errores y vulnerabilidades para obtener recompensas en efectivo. Pero debido a que el programa de Netgear prohíbe cualquier tipo de divulgación pública de vulnerabilidades, Starke y Pohl optaron por un enfoque diferente.
El 15 de enero, los dos investigadores intentaron pasar por Bugcrowd para establecer una comunicación directa con Netgear, pero fueron "incapaces de establecer un canal de comunicación fuera de los programas de recompensas de errores de Netgear", dijo la página de GitHub.
Cuatro días después, publicaron sus hallazgos en GitHub. "Sentimos que este era un tema lo suficientemente importante y decidimos divulgarlo por completo", dijo Pohl. "Para mí no se trata del dinero o la fama. Se trata de hacer que la comunidad sea segura".
Pohl también dijo que las prácticas responsables de divulgación en este caso beneficiaron a Netgear en lugar de a los usuarios. "Le pagan un poco de dinero a través de Bugcrowd o lo que sea para que se calle, y luego nunca solucionan el problema. Y así, toda la" divulgación responsable "entre comillas no es una divulgación responsable; se trata de que los vendedores puedan callar a los investigadores y no proteger a la comunidad. Por lo tanto, en realidad no hace lo que estas recompensas de errores tienen la intención de hacer ", dijo Pohl.
Sin embargo, cuando publicaron sus hallazgos, Pohl y Starke descubrieron que el problema de las claves privadas que se revelaban a través del firmware no era nuevo. Kevin Froman, investigador de seguridad y estudiante de ciencias de la computación, comentó sobre la publicación de Starke y Pohl en GitHub. "Descubrí lo mismo en 2017. Mi informe de Bugcrowd fue clasificado como un engaño".
Froman dijo a SearchSecurity que el "engaño" se refiere al mensaje que recibió de Bugcrowd por su informe enviado el 23 de julio de 2017, que determinó que el problema era una vulnerabilidad duplicada. "Gracias por el envío, pero otro investigador ya lo ha informado", decía el mensaje de Bugcrowd.
Froman escribió sobre los certificados TLS y las claves expuestas en una publicación de blog en 2017 . Dijo que lo que descubrió hace casi tres años eran "problemas muy similares pero no idénticos" a lo que Starke y Pohl informaron esta semana.
"Pohl y Starke encontraron diferentes claves privadas que yo, pero el punto es que Netgear estaba al tanto del problema desde al menos 2017, y de acuerdo con ellos en ese momento, no fui el primero en informar", dijo Froman.
Cuando se le preguntó si los hallazgos de Pohl y Starke habían sido reportados previamente, un portavoz de Netgear explicó por correo electrónico: "Este problema particular relacionado con la clave privada de Entrust disponible en texto sin formato no nos ha sido informado anteriormente".
SearchSecurity le preguntó a Netgear por qué la vulnerabilidad se clasificó como un problema separado si la única diferencia era el tipo de certificados TLS y las claves privadas involucradas. Netgear no había respondido al cierre de esta edición.
Netgear ha luchado con informes y respuestas de vulnerabilidad en el pasado. A principios de 2017, los investigadores de seguridad de Trustwave informaron dos vulnerabilidades críticas en 31 modelos de enrutadores Netgear. Según los investigadores, se comunicaron por primera vez con Netgear sobre los defectos en abril de 2016, pero después de nueve meses, el proveedor había lanzado parches de firmware para 18 de los productos afectados.
"Afortunadamente, Netgear finalmente se puso en contacto con nosotros justo antes de que reveláramos públicamente estas vulnerabilidades", escribió Simon Kenin, investigador de seguridad de Trustwave, en una publicación de blog . "Estábamos un poco escépticos ya que nuestra experiencia hasta la fecha coincidía con la de otros investigadores de vulnerabilidad de terceros que han tratado de revelar de manera responsable a Netgear solo para encontrarse con la frustración de ser ignorados o bateados".
Sin embargo, Kenin dijo que su opinión cambió después de que Netgear se comprometió a lanzar correcciones de firmware adicionales en una "línea de tiempo mínima" y anunció una asociación con Bugcrowd para mejorar sus esfuerzos de recompensa por errores.
Fuente: TechTarget
0 Comentarios