工业和物联网网络安全公司Claroty周四（11日）披露了一个高危漏洞利用链的详细。

该漏洞利用链主要通过以下5个漏洞实现：CVE-2023-27357、CVE-2023-27367、CVE-2023-27368、CVE-2023-27369和CVE-2023-27370。

利用该漏洞链，攻击者可监控用户的互联网活动，劫持互联网连接并将流量重定向到恶意网站，或将恶意软件注入网络流量，访问和控制联网的智能设备（安全摄像头、恒温器、智能锁），更改路由器设置，包括凭据或 DNS 设置，或使用受感染的网络对其他设备或网络发起攻击。

这些漏洞首次出现在2022年Pwn2Own多伦多黑客大赛上，白帽黑客通过针对智能手机、打印机、NAS 设备、智能扬声器和路由器的攻击获得了总计近100万美元的奖金。

针对Netgear的Nighthawk RAX30 SOHO路由器的漏洞利用在Pwn2Own为公司的研究人员赢得了2,500美元。

Netgear 在4月初发布了1.0.10.94版固件，对它们进行了修补。其中三个漏洞被评为“高严重性”，利用它们可导致远程代码执行、身份验证绕过和命令注入。将所有缺陷串联起来可能会产生重大影响。

值得注意的是，该漏洞链的执行需要访问LAN——它不是可以从Internet执行的WAN攻击，这就是它在Pwn2Own上获得较小奖励的原因。