-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512
#####################################################
## N C S C ~ B E V E I L I G I N G S A D V I E S ##
#####################################################
Titel : Kwetsbaarheden verholpen in Netgear SmartSwitches
Advisory ID : NCSC-2021-0816
Versie : 1.00
Kans : medium
CVE ID : CVE-2021-40866, CVE-2021-40867
(Details over de kwetsbaarheden kunt u vinden op
de Mitre website: https://cve.mitre.org/cve/)
Schade : high
Denial-of-Service (DoS)
(Remote) code execution (Administrator/Root rechten)
Uitgiftedatum : 20210917
Toepassing : Netgear GC108P
Netgear GC108PP
Netgear GS108Tv3
Netgear GS110TPP
Netgear GS110TPv3
Netgear GS110TUP
Netgear GS308T
Netgear GS310TP
Netgear GS710TUP
Netgear GS716TP
Netgear GS716TPP
Netgear GS724TPP
Netgear GS724TPv2
Netgear GS728TPPv2
Netgear GS728TPv2
Netgear GS750E
Netgear GS752TPP
Netgear GS752TPv2
Netgear MS510TXM
Netgear MS510TXUP
Versie(s) :
Platform(s) :
Beschrijving
Netgear heeft drie kwetsbaarheden verholpen in een groot aantal
SmartSwitches (Seventh Inferno, Demon's Cries en Draconian Fear). De
kwetsbaarheden stellen een kwaadwillende in staat om een
Denial-of-Service te veroorzaken, of, wanneer de kwetsbaarheden in
tandem worden gebruikt, het wachtwoord van de lokale admin te
resetten zonder het voorgaande wachtwoord te weten en daarmee de
kwetsbare switch volledig over te nemen.
Om de kwetsbaarheden succesvol te misbruiken moet de kwaadwillende
reeds toegang hebben tot de managementinterfaces. Het is goed
gebruik dergelijke interfaces niet publiek beschikbaar te hebben.
Voor deze kwetsbaarheden is inmiddels Proof-of-Conceptcode
beschikbaar.
Van de kwetsbaarheid getiteld "Seventh Inferno" is nog geen CVE-ID
beschikbaar gesteld.
Mogelijke oplossingen
Netgear heeft updates beschikbaar gesteld om de kwetsbaarheden te
verhelpen. Voor meer informatie zie:
https://kb.netgear.com/000063978
/Security-Advisory-for-Multiple-Vulnerabilities-on-Some-Smart-Swi
tches-PSV-2021-0140-PSV-2021-0144-PSV-2021-0145
Vrijwaringsverklaring
Door gebruik van deze security advisory gaat u akkoord met de
navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
kan het NCSC niet instaan voor de volledigheid, juistheid of
(voortdurende) actualiteit van dit beveiligingsadvies. De informatie
in dit beveiligingsadvies is uitsluitend bedoeld als algemene
informatie voor professionele partijen. Aan de informatie in dit
beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
van het gebruik of de onmogelijkheid van het gebruik van dit
beveiligingsadvies, waaronder begrepen schade ten gevolge van de
onjuistheid of onvolledigheid van de informatie in dit
beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
van toepassing. Alle geschillen in verband met en/of voortvloeiend
uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
voorzieningenrechter in kort geding.
-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 1298)
Charset: utf-8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=n2lU
-----END PGP SIGNATURE-----
