Netgear a averti les clients de mettre à jour leurs appareils avec le dernier micrologiciel disponible, qui corrige les vulnérabilités de contournement de script intersite (XSS) et d’authentification stockées dans plusieurs modèles de routeurs WiFi 6.
La faille de sécurité XSS stockée (corrigée dans la version 1.0.0.72 du micrologiciel et suivie sous le numéro PSV-2023-0122) affecte le routeur de jeu Nighthawk XR1000.
Bien que l’entreprise n’ait divulgué aucun détail concernant ce bogue, des attaques réussies exploitant de telles faiblesses peuvent permettre aux auteurs de menaces de détourner les sessions utilisateur, de rediriger les utilisateurs vers des sites malveillants ou d’afficher de faux formulaires de connexion et de voler des informations restreintes.
Ils peuvent également effectuer des actions avec les autorisations de l’utilisateur compromis, un scénario particulièrement dangereux si l’utilisateur dispose de privilèges administratifs sur l’appareil ciblé.
Le bogue de sécurité de contournement d’authentification (corrigé dans la version 2.2.2.2 du micrologiciel et suivi sous le numéro PSV-2023-0138) affecte les routeurs modem câble 6 flux CAX30 Nighthawk AX6.
Même si Netgear n’a pas non plus partagé d’informations concernant cette vulnérabilité, ces failles sont généralement qualifiées de gravité maximale car elles peuvent fournir aux attaquants un accès non autorisé à l’interface d’administration et entraîner une prise de contrôle complète des appareils ciblés.
Un porte-parole de Netgear n’était pas immédiatement disponible pour partager plus de détails concernant les deux failles de sécurité lorsque Breachtrace a contacté plus tôt dans la journée.
Comment mettre à jour le firmware de votre routeur
Dans les avis de sécurité publiés mercredi, Netgear a déclaré qu’il « vous recommande fortement de télécharger le dernier firmware dès que possible. »
Pour télécharger et installer la dernière version du micrologiciel de votre routeur Netgear, vous devez suivre les étapes suivantes:
- Visitez l’assistance NETGEAR.
- Commencez par entrer votre numéro de modèle dans la zone de recherche. Ensuite, choisissez votre modèle dans le menu déroulant lorsqu’il apparaît.
- Si vous ne voyez pas de menu déroulant, assurez-vous d’avoir correctement entré votre numéro de modèle ou sélectionnez une catégorie de produits pour rechercher votre modèle de produit.
- Cliquez sur Téléchargements.
- Sous Versions actuelles, sélectionnez le premier téléchargement dont le titre commence par la version du micrologiciel.
- Cliquez sur Télécharger.
- Pour installer le nouveau micrologiciel, suivez les instructions du manuel d’utilisation de votre produit, des notes de version du micrologiciel ou de la page de support produit.
« NETGEAR n’est pas responsable des conséquences qui auraient pu être évitées en suivant les recommandations de cette notification », a ajouté la société.
Le mois dernier, des chercheurs en sécurité ont révélé une demi-douzaine de vulnérabilités de gravité variable affectant Netgear WNR614 N300, un routeur populaire parmi les utilisateurs à domicile et les petites entreprises.
Étant donné que ce modèle de routeur a atteint la fin de vie et n’est plus pris en charge par Netgear, la société ne publiera pas de correctifs de sécurité et a conseillé aux utilisateurs de remplacer le routeur ou d’appliquer des mesures d’atténuation pour bloquer les attaques potentielles.