Тайванската компания ASUS пусна в понеделник актуализации на фърмуера, за да отстрани, наред с други проблеми, девет грешки в сигурността, засягащи широк кръг модели рутери.

Два от деветте пропуски в сигурността са оценени като критични, а шест – като сериозни. Една уязвимост в момента е в процес на анализ.

Списъкът на засегнатите продукти е следният: GT6, GT-AXE16000, GT-AX11000 PRO, GT-AXE11000, GT-AX6000, GT-AX11000, GS-AX5400, GS-AX3000, XT9, XT8, XT8 V2, RT-AX86U PRO, RT-AX86U, RT-AX86S, RT-AX82U, RT-AX58U, RT-AX3000, TUF-AX6000 и TUF-AX5400.

Начело на списъка с поправки са CVE-2018-1160 и CVE-2022-26376, като и двете са оценени с 9,8 от максимум 10 по системата за оценяване CVSS.

CVE-2018-1160 се отнася до почти петгодишен бъг в запис извън границите във версиите на Netatalk преди 3.1.12, който може да позволи на отдалечен неаутентифициран атакуващ да постигне произволно изпълнение на код.

CVE-2022-26376 е описана като уязвимост с повреда на паметта във фърмуера на Asuswrt, която може да бъде задействана чрез специално създадена HTTP заявка.

Другите седем недостатъка са, както следва –

• CVE-2022-35401 (CVSS score: 8.1) – уязвимост за заобикаляне на удостоверяването, която може да позволи на нападателя да изпрати злонамерени HTTP заявки, за да получи пълен административен достъп до устройството.
• CVE-2022-38105 (CVSS score: 7.5) – Уязвимост за разкриване на информация, която може да бъде използвана за достъп до чувствителна информация чрез изпращане на специално създадени мрежови пакети.
• CVE-2022-38393 (CVSS score: 7.5) – Уязвимост в отказ на услуга (DoS), която може да бъде задействана чрез изпращане на специално създаден мрежов пакет.
• CVE-2022-46871 (CVSS score: 8.8) – Използване на остаряла библиотека libusrsctp, което може да отвори целевите устройства за други атаки.
• CVE-2023-28702 (CVSS оценка: 8.8) – Дефект при въвеждане на команда, който може да бъде използван от локален атакуващ за изпълнение на произволни системни команди, нарушаване на работата на системата или прекратяване на услугата.
• CVE-2023-28703 (CVSS score: 7.2) – Уязвимост, базирана на препълване на буфера на стека, която може да бъде използвана от нападател с администраторски права за изпълнение на произволни системни команди, нарушаване на работата на системата или прекратяване на услугата.
• CVE-2023-31195 (CVSS score: N/A) – Пропуск в средата (adversary-in-the-middle, AitM), който може да доведе до превземане на сесията на потребителя.

ASUS препоръчва на потребителите да приложат най-новите актуализации възможно най-скоро, за да намалят рисковете за сигурността. Като заобиколен вариант тя съветва потребителите да деактивират услугите, достъпни от страната на WAN, за да избегнат потенциални нежелани прониквания.

„Тези услуги включват отдалечен достъп от WAN, пренасочване на портове, DDNS, VPN сървър, DMZ, [и] задействане на портове“, заяви компанията и призова клиентите периодично да проверяват оборудването си, както и да задават отделни пароли за безжичната мрежа и страницата за администриране на рутера.