Netgear a corrigé deux vulnérabilités critiques affectant plusieurs modèles de routeurs WiFi et a exhorté les clients à mettre à jour leurs appareils avec le dernier firmware dès que possible.
Les failles de sécurité affectent plusieurs points d’accès WiFi 6 (WAX206, WAX214v2 et WAX 220) et les modèles de routeurs de jeu Nighthawk Pro (XR1000, XR1000v2, XR500).
Bien que la société américaine de réseaux informatiques n’ait pas divulgué plus de détails sur les deux bogues, elle a révélé que des acteurs de la menace non authentifiés peuvent les exploiter pour l’exécution de code à distance (suivis en interne comme PSV-2023-0039) et le contournement d’authentification (PSV-2021-0117) dans des attaques de faible complexité qui ne nécessitent aucune interaction de l’utilisateur.
« NETGEAR vous recommande vivement de télécharger le dernier firmware dès que possible », a déclaré la société dans des avis de sécurité publiés ce week-end.
Le tableau ci-dessous répertorie tous les modèles de routeurs vulnérables et les versions de micrologiciel avec correctifs de sécurité.
| Routeur Netgear vulnérable | Version corrigée du micrologiciel |
| XR1000 | Version du micrologiciel 1.0.0.74 |
| XR1000v2 | Version du micrologiciel 1.1.0.22 |
| XR500 | Version du micrologiciel 2.3.2.134 |
| WAX206 | Version du micrologiciel 1.0.5.3 |
| WAX220 | Version du micrologiciel 1.0.5.3 |
| WAX214v2 | Version du micrologiciel 1.0.2.5 |
Pour télécharger et installer la dernière version du micrologiciel de votre routeur Netgear, vous devez suivre les étapes suivantes:
- Visitez l’assistance NETGEAR.
- Commencez à taper votre numéro de modèle dans la zone de recherche, puis sélectionnez votre modèle dans le menu déroulant dès qu’il apparaît.
- Si vous ne voyez pas de menu déroulant, assurez-vous d’avoir entré correctement votre numéro de modèle ou sélectionnez une catégorie de produits pour rechercher votre modèle de produit.
- Cliquez sur Téléchargements.
- Sous Versions actuelles, sélectionnez le premier téléchargement dont le titre commence par la version du micrologiciel.
- Cliquez sur Notes de publication.
- Suivez les instructions des notes de version pour télécharger et installer le nouveau micrologiciel.
« La vulnérabilité RCE non authentifiée demeure si vous ne suivez pas toutes les étapes recommandées », a averti la société samedi.
« NETGEAR n’est pas responsable des conséquences qui auraient pu être évitées en suivant les recommandations de cette notification. »
Un porte-parole de Netgear n’était pas disponible pour commenter lorsqu’il a été contacté par Breachtrace pour plus d’informations sur les deux failles de sécurité.
En juillet, Netgear a également exhorté les clients à mettre à jour immédiatement le dernier micrologiciel pour corriger les vulnérabilités stockées de contournement des scripts intersites (XSS) et d’authentification affectant plusieurs modèles de routeurs WiFi 6.
Un mois plus tôt, des chercheurs en sécurité ont révélé six failles de gravité variable dans Netgear WNR614 N300, un routeur en fin de vie populaire parmi les utilisateurs à domicile et les petites entreprises.