A FD listán jelentette be Peter Adkins a minap, hogy több NetGear routerrel / azok firmware verzióival biztonsági probléma van. A hiba kihasználhatóságát demonstrálandó, a felfedező egy PoC kódot is mellékelt. A PoC segítségével távolról, helyi hálózaton (vagy a távmenedzsment internet felőli engedélyezése esetén az internetről is) keresztül kinyerhető auth. nélkül az admin password, az eszköz sorozatszáma, a WLAN beállítások részletei stb.

Az érintett eszközök / firmware-ek:

• NetGear WNDR3700v4 - V1.0.0.4SH
• NetGear WNDR3700v4 - V1.0.1.52
• NetGear WNR2200 - V1.0.1.88
• NetGear WNR2500 - V1.0.0.24

További eszközök, amelyek feltehetően érintettek:

• NetGear WNDR3800
• NetGear WNDRMAC
• NetGear WPN824N
• NetGear WNDR4700

A hiba felfedezője értesítette a NetGear-t január 18-án a sebezhetőségről. Eddig kevés sikerrel járt a cégnél....

2015-01-18 - Initial contact with NetGear regarding vulnerability.
2015-01-18 - NetGear advised to email support with concerns.
2015-01-18 - Email sent to NetGear (support).
2015-01-19 - Email sent to Mitre.
2015-01-20 - NetGear (support) advised that a ticket had been created.
2015-01-21 - NetGear (support) requested product verification.
2015-01-21 - Replied to NetGear with information requested.
2015-01-23 - NetGear (support) requested clarification of model.
2015-01-23 - Replied to NetGear with list of affected models.
2015-01-27 - NetGear (support) replied with router security features.
2015-01-27 - Replied to NetGear and reiterated vulnerability.
2015-01-29 - Email sent to NetGear (OpenSource) regarding issue.
2015-01-30 - Case auto-closure email received from NetGear (support).
2015-02-01 - Reply from Mitre requesting additional information.
2015-02-01 - Email to Mitre with additional information.
2015-02-11 - Vulnerability published to Bugtraq and GitHub.

A részletek itt olvashatók.