В июне текущего года специалисты предупреждали, что 79 моделей маршрутизаторов Netgear уязвимы перед серьезным багом, который может позволить хакерам удаленно захватить полный контроль над устройством. Уязвимость затрагивает 758 различных версий прошивки, которые использовались в 79 роутерах Netgear на протяжении многих лет, причем некоторые версии прошивки можно найти на устройствах, выпущенных еще в далеком 2007 году. Проблема связана с компонентом веб-сервера, который входит в состав прошивок Netgear. Данный веб-сервер используется для обеспечения работы встроенной панели администрирования. Как оказалось, сервер некорректно проверяет вводимые пользователем данные, не использует canary's куки для защиты памяти, а бинарник сервера скомпилирован не как Position-independent Executa­ble (PIE), то есть защита ASLR не применяется. В итоге, как писали эксперты из университета Карнеги-Меллона, многие устройства Netgear подвержены переполнению буфера стека, которое происходит во время обработки веб-сервером httpd файла upgrade_check.cgi, и в итоге может привести к удаленному выполнению произвольного кода без аутентификации и с root-правами. Как теперь сообщает издание The Register, разработчики Netgear­ решили не выпускать исправления для 45 моделей уязвимых устройств, невзирая на тот факт, что в сети уже доступен PoC-эксплоит. Дело в том, что срок поддержки этих устройств уже истек, и специалисты Netgear­ сочли, что RCE-баг — это не повод делать исключения. Без патчей в основном остались устройства, предназначенные для домашних пользователей, а также для малого и среднего бизнеса. Специалист Trend Micro's Zero Day Initiative Брайан Горенк (Brian Gorenc) рассказал журналистам, что подобные ситуации, к сожалению, возникают не так уж редко: «К сожалению, есть множество примеров того, как производители отказываются от поддержки устройств, которые все еще широко используются, а порой даже по-прежнему доступны для покупки. Мы надеемся, что производители будут четко сообщать о своих политиках поддержки и жизненных циклах устройств, чтобы потребители могли сделать осознанный выбор». Ниже перечислены уязвимые модели устройств Netgear, которые не получат патчей: AC1450 D6300 DGN2200v1 DGN2200M DGND3700v1 LG2200D MBM621 MBR1200 MBR1515 MBR1516 MBR624GU MBRN3000 MVBR1210C R4500 R6200 R6200v2 R6300v1 R7300DST WGR614v10 WGR614v8 WGR614v9 WGT624v4 WN2500RP WN2500RPv2 WN3000RP WN3000RPv2 WN3000RPv3 WN3100RP WN3100RPv2 WN3500RP WNCE3001 WNCE3001v2 WNDR3300v1 WNDR3300v2 WNDR3400v1 WNDR3400v2 WNDR3400v3 WNDR3700v3 WNDR4000 WNDR4500 WNDR4500v2 WNR3500v1 WNR3500Lv1 WNR3500v2 WNR834Bv2