Im Rahmen des Wettbewerbs "Pwn2Own" hatten Sicherheitsforscher von Team82, der Forschungsabteilung von Claroty, fünf Sicherheitslücken im WLAN-Router Netgear Nighthawk RAX30 entdeckt. Unbefugte könnten sie ausnutzen, um die Internetaktivitäten von Benutzern zu überwachen, Internetverbindungen zu kapern, den Datenverkehr auf bösartige Websites umzuleiten oder Malware in den Netzwerkverkehr einzuschleusen. Außerdem könnten Angreifer darüber auf vernetzte Geräte wie Sicherheitskameras, Thermostate oder digitale Schlösser zugreifen und diese steuern oder von den Routern aus Angriffe auf andere Geräte und Netzwerke starten. Netgear hat die fünf Schwachstellen gepatcht und rät Nutzern dringend, ihre RAX30-Router zu aktualisieren.
Team82 entdeckte im Rahmen des Hacker-Wettbewerbs zunächst eine Stack-basierte Pufferüberlauf-Schwachstelle. Solche Schwachstellen lassen sich eigentlich leicht ausnutzen. Allerdings hat Netgear die Binärdateien im RAX30-Router mit Stack Canaries kompiliert. Das ist ein gängiges Verfahren zum Schutz vor Pufferüberlauf-Angriffen. Stack Canaries sind ein geheimer Wert (der sogenannte "Canary"), der auf dem Stack abgelegt wird und sich bei jedem Start des Programms ändert. Wurde der "Canary" verändert wurde, wird das Programm beendet, um weitere Angriffe zu verhindern.
Dieser Schutzmechanismus kann grundsätzlich auf drei Wegen umgangen werden: durch die Identifizierung einer Schwachstelle, die es ermöglicht den "Canary" zu ermitteln, in bestimmten Fällen durch Brute-Force-Angriffe oder indem der Overflow erzeugt wird, bevor der Canary geprüft wird. Beim Nighthawk RAX30 wante Team82 Letzteres erfolgreich an. Interessant ist das auch, weil die Methide zwar häufig beschrieben wurde, es aber nur wenige Beispiele gibt, bei denen die Technik in der Praxis erfolgreich umgesetzt wurde.
Den Sicherheitsforschern gelang das, weil sie dazu insgesamt fünf Sicherheitslücken verknüpften (CVE-2023-27357, CVE-2023-27369, CVE-2023-27368, CVE-2023-27370 und CVE-2023-27367. Dadurch erlangten sie letztlich Remotecodeausführung mit Root-Zugriff auf dem Gerät. Über Hintergründe und technische Details der Schwachstellen informieren die Sicherheitsforschern in einem Blog-Beitrag.