Търсене
Close this search box.

ASUS пуска пачове за отстраняване на критични грешки в сигурността

Тайванската компания ASUS пусна в понеделник актуализации на фърмуера, за да отстрани, наред с други проблеми, девет грешки в сигурността, засягащи широк кръг модели рутери.

Два от деветте пропуски в сигурността са оценени като критични, а шест – като сериозни. Една уязвимост в момента е в процес на анализ.

Списъкът на засегнатите продукти е следният: GT6, GT-AXE16000, GT-AX11000 PRO, GT-AXE11000, GT-AX6000, GT-AX11000, GS-AX5400, GS-AX3000, XT9, XT8, XT8 V2, RT-AX86U PRO, RT-AX86U, RT-AX86S, RT-AX82U, RT-AX58U, RT-AX3000, TUF-AX6000 и TUF-AX5400.

Начело на списъка с поправки са CVE-2018-1160 и CVE-2022-26376, като и двете са оценени с 9,8 от максимум 10 по системата за оценяване CVSS.

CVE-2018-1160 се отнася до почти петгодишен бъг в запис извън границите във версиите на Netatalk преди 3.1.12, който може да позволи на отдалечен неаутентифициран атакуващ да постигне произволно изпълнение на код.

CVE-2022-26376 е описана като уязвимост с повреда на паметта във фърмуера на Asuswrt, която може да бъде задействана чрез специално създадена HTTP заявка.

Другите седем недостатъка са, както следва –

  • CVE-2022-35401 (CVSS score: 8.1) – уязвимост за заобикаляне на удостоверяването, която може да позволи на нападателя да изпрати злонамерени HTTP заявки, за да получи пълен административен достъп до устройството.
  • CVE-2022-38105 (CVSS score: 7.5) – Уязвимост за разкриване на информация, която може да бъде използвана за достъп до чувствителна информация чрез изпращане на специално създадени мрежови пакети.
  • CVE-2022-38393 (CVSS score: 7.5) – Уязвимост в отказ на услуга (DoS), която може да бъде задействана чрез изпращане на специално създаден мрежов пакет.
  • CVE-2022-46871 (CVSS score: 8.8) – Използване на остаряла библиотека libusrsctp, което може да отвори целевите устройства за други атаки.
  • CVE-2023-28702 (CVSS оценка: 8.8) – Дефект при въвеждане на команда, който може да бъде използван от локален атакуващ за изпълнение на произволни системни команди, нарушаване на работата на системата или прекратяване на услугата.
  • CVE-2023-28703 (CVSS score: 7.2) – Уязвимост, базирана на препълване на буфера на стека, която може да бъде използвана от нападател с администраторски права за изпълнение на произволни системни команди, нарушаване на работата на системата или прекратяване на услугата.
  • CVE-2023-31195 (CVSS score: N/A) – Пропуск в средата (adversary-in-the-middle, AitM), който може да доведе до превземане на сесията на потребителя.

 

ASUS препоръчва на потребителите да приложат най-новите актуализации възможно най-скоро, за да намалят рисковете за сигурността. Като заобиколен вариант тя съветва потребителите да деактивират услугите, достъпни от страната на WAN, за да избегнат потенциални нежелани прониквания.

„Тези услуги включват отдалечен достъп от WAN, пренасочване на портове, DDNS, VPN сървър, DMZ, [и] задействане на портове“, заяви компанията и призова клиентите периодично да проверяват оборудването си, както и да задават отделни пароли за безжичната мрежа и страницата за администриране на рутера.

Източник: The Hacker News

Подобни публикации

27 февруари 2024

Севернокорейските хакери атакуват разработчици ...

Нови данни на Phylum показват, че набор от фалшиви пакети npm, откр...
27 февруари 2024

Защо автоматизацията е от съществено значение з...

Областта на киберсигурността се разширява, което води след себе си ...
27 февруари 2024

Киберсигурност - четки за зъби, дронове и джуджета

Звучи като виц, но всички тези истории са станали популярни през по...
27 февруари 2024

САЩ и НАТО: Руските хакери преминават към облач...

Членовете на разузнавателния алианс „Пет очи“ (FVEY) пр...
27 февруари 2024

ThyssenKrupp потвърждава кибератака

Стоманодобивният гигант ThyssenKrupp потвърждава, че миналата седми...
27 февруари 2024

SubdoMailing - развива се агресивна измамна кам...

Мащабна кампания за рекламни измами, наречена „SubdoMailing&#...
Бъдете социални
Още по темата
22/02/2024

Нови уязвимости в Wi-Fi изл...

Изследователи в областта на киберсигурността са...
09/02/2024

Мрежата за гости

Wi-Fi за гости се отнася до...
15/01/2024

Juniper предупреждава за кр...

Juniper Networks пусна актуализации за сигурност,...
Последно добавени
27/02/2024

Севернокорейските хакери ат...

Нови данни на Phylum показват, че...
27/02/2024

Защо автоматизацията е от с...

Областта на киберсигурността се разширява, което...
27/02/2024

Киберсигурност - четки за з...

Звучи като виц, но всички тези...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!