Netgear a averti ses clients de mettre à jour leurs appareils avec le dernier firmware disponible, qui corrige les vulnérabilités de script intersite (XSS) et de contournement d'authentification stockées dans plusieurs modèles de routeurs WiFi 6.
La faille de sécurité XSS stockée (corrigée dans la version 1.0.0.72 du firmware et suivie comme PSV-2023-0122) impacte le routeur de jeu XR1000 Nighthawk.
Bien que la société n'ait divulgué aucun détail concernant ce bug, des attaques réussies exploitant de telles faiblesses peuvent permettre aux acteurs malveillants de détourner les sessions des utilisateurs, de rediriger les utilisateurs vers des sites malveillants ou d'afficher de faux formulaires de connexion et de voler des informations restreintes.
Ils peuvent également effectuer des actions avec les autorisations de l’utilisateur compromis, un scénario particulièrement dangereux si l’utilisateur dispose de privilèges administratifs sur l’appareil ciblé.
Le bogue de sécurité de contournement de l'authentification (corrigé dans la version 2.2.2.2 du firmware et suivi comme PSV-2023-0138) impacte les routeurs modem câble CAX30 Nighthawk AX6 6-Stream.
Même si Netgear n'a partagé aucune information concernant cette vulnérabilité, de telles failles sont généralement considérées comme d'une gravité maximale car elles peuvent fournir aux attaquants un accès non autorisé à l'interface d'administration et peuvent entraîner une prise de contrôle complète des appareils ciblés.
Un porte-parole de Netgear n'était pas immédiatement disponible pour partager plus de détails concernant les deux failles de sécurité lorsque BleepingComputer nous a contactés plus tôt dans la journée.
Comment mettre à jour le firmware de votre routeur
Dans des avis de sécurité publiés mercredi, Netgear a déclaré qu'il « recommande fortement de télécharger le dernier firmware dès que possible ».
Pour télécharger et installer le dernier firmware pour votre routeur Netgear, vous devez suivre les étapes suivantes :
- Visite Assistance NETGEAR.
- Commencez par saisir votre numéro de modèle dans la zone de recherche. Ensuite, choisissez votre modèle dans le menu déroulant lorsqu'il apparaît.
- Si vous ne voyez pas de menu déroulant, assurez-vous d'avoir correctement saisi votre numéro de modèle ou sélectionnez une catégorie de produits pour rechercher votre modèle de produit.
- Cliquez sur Téléchargements.
- Sous Versions actuellessélectionnez le premier téléchargement dont le titre commence par Version du firmware.
- Cliquez sur Télécharger.
- Pour installer le nouveau micrologiciel, suivez les instructions du manuel d'utilisation de votre produit, des notes de version du micrologiciel ou de la page d'assistance du produit.
« NETGEAR n'est pas responsable des conséquences qui auraient pu être évitées en suivant les recommandations de cette notification », a ajouté la société.
Le mois dernier, des chercheurs en sécurité ont révélé une demi-douzaine de vulnérabilités de gravité variable affectant Netgear WNR614 N300, un routeur populaire parmi les utilisateurs domestiques et les petites entreprises.
Étant donné que ce modèle de routeur a atteint la fin de sa vie utile et n'est plus pris en charge par Netgear, la société ne publiera pas de correctifs de sécurité et conseille aux utilisateurs de remplacer le routeur ou d'appliquer des mesures d'atténuation pour bloquer les attaques potentielles.