Тайванската компания ASUS пусна в понеделник актуализации на фърмуера, за да отстрани, наред с други проблеми, девет грешки в сигурността, засягащи широк кръг модели рутери.

Два от деветте пропуски в сигурността са оценени като критични, а шест – като сериозни. Една уязвимост в момента е в процес на анализ.

Списъкът на засегнатите продукти е следният: GT6, GT-AXE16000, GT-AX11000 PRO, GT-AXE11000, GT-AX6000, GT-AX11000, GS-AX5400, GS-AX3000, XT9, XT8, XT8 V2, RT-AX86U PRO, RT-AX86U, RT-AX86S, RT-AX82U, RT-AX58U, RT-AX3000, TUF-AX6000 и TUF-AX5400.

Начело на списъка с поправки са CVE-2018-1160 и CVE-2022-26376, като и двете са оценени с 9,8 от максимум 10 по системата за оценяване CVSS.

CVE-2018-1160 се отнася до почти петгодишен бъг в запис извън границите във версиите на Netatalk преди 3.1.12, който може да позволи на отдалечен неаутентифициран атакуващ да постигне произволно изпълнение на код.

CVE-2022-26376 е описана като уязвимост с повреда на паметта във фърмуера на Asuswrt, която може да бъде задействана чрез специално създадена HTTP заявка.

Другите седем недостатъка са, както следва –

  • CVE-2022-35401 (CVSS score: 8.1) – уязвимост за заобикаляне на удостоверяването, която може да позволи на нападателя да изпрати злонамерени HTTP заявки, за да получи пълен административен достъп до устройството.
  • CVE-2022-38105 (CVSS score: 7.5) – Уязвимост за разкриване на информация, която може да бъде използвана за достъп до чувствителна информация чрез изпращане на специално създадени мрежови пакети.
  • CVE-2022-38393 (CVSS score: 7.5) – Уязвимост в отказ на услуга (DoS), която може да бъде задействана чрез изпращане на специално създаден мрежов пакет.
  • CVE-2022-46871 (CVSS score: 8.8) – Използване на остаряла библиотека libusrsctp, което може да отвори целевите устройства за други атаки.
  • CVE-2023-28702 (CVSS оценка: 8.8) – Дефект при въвеждане на команда, който може да бъде използван от локален атакуващ за изпълнение на произволни системни команди, нарушаване на работата на системата или прекратяване на услугата.
  • CVE-2023-28703 (CVSS score: 7.2) – Уязвимост, базирана на препълване на буфера на стека, която може да бъде използвана от нападател с администраторски права за изпълнение на произволни системни команди, нарушаване на работата на системата или прекратяване на услугата.
  • CVE-2023-31195 (CVSS score: N/A) – Пропуск в средата (adversary-in-the-middle, AitM), който може да доведе до превземане на сесията на потребителя.

 

ASUS препоръчва на потребителите да приложат най-новите актуализации възможно най-скоро, за да намалят рисковете за сигурността. Като заобиколен вариант тя съветва потребителите да деактивират услугите, достъпни от страната на WAN, за да избегнат потенциални нежелани прониквания.

„Тези услуги включват отдалечен достъп от WAN, пренасочване на портове, DDNS, VPN сървър, DMZ, [и] задействане на портове“, заяви компанията и призова клиентите периодично да проверяват оборудването си, както и да задават отделни пароли за безжичната мрежа и страницата за администриране на рутера.

Източник: The Hacker News

Подобни публикации

19 януари 2025

Нарушението на данните на Wolf Haldenstein зася...

Адвокатската кантора Wolf Haldenstein Adler Freeman & Herz LLP ...
19 януари 2025

САЩ призовават за преодоляване на разликата в р...

Агенцията за киберсигурност CISA и други правителствени агенции при...
19 януари 2025

САЩ наложиха санкции за масираната хакерска ата...

Министерството на финансите обяви в петък санкции във връзка с маща...
19 януари 2025

Фалшивият Брад Пит е разкрит: как етичен хакер ...

Маруан Уараб, бивш измамник и киберпрестъпник, превърнал се в етиче...
18 януари 2025

FTC нарежда на GoDaddy да коригира неадекватнит...

След като установи, че политиките за сигурност на GoDaddy са недост...
17 януари 2025

SSO - опростете достъпа и защитете бизнеса си

Днес предприятията са изправени пред сложна работна среда, в която ...
17 януари 2025

Руски кибершпиони са хванати да извършват Spear...

Изследователи на Microsoft са разкрили, че руски разузнавателни аге...
17 януари 2025

Cisco представи AI Defense

Тази седмица Cisco представи AI Defense – ново решение, предн...
Бъдете социални
Още по темата
15/01/2025

Ivanti поправя критични уяз...

Във вторник Ivanti обяви пачове за...
15/01/2025

Fortinet поправи критични у...

Във вторник Fortinet публикува над дузина...
10/01/2025

Palo Alto Networks поправя ...

В сряда Palo Alto Networks обяви...
Последно добавени
19/01/2025

Нарушението на данните на W...

Адвокатската кантора Wolf Haldenstein Adler Freeman...
19/01/2025

САЩ призовават за преодоляв...

Агенцията за киберсигурност CISA и други...
19/01/2025

САЩ наложиха санкции за мас...

Министерството на финансите обяви в петък...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!