Рутерите на ASUS са уязвими към критични грешки при изпълнение на отдалечен код

Три уязвимости за отдалечено изпълнение на код с критична сериозност засягат маршрутизаторите ASUS RT-AX55, RT-AX56U_V2 и RT-AC86U, като потенциално позволяват на заплахи да превземат устройствата, ако не са инсталирани актуализации за сигурност.

Тези три WiFi рутери са популярни модели от висок клас в рамките на пазара на потребителски мрежи, които в момента се предлагат на уебсайта на ASUS, предпочитани от геймъри и потребители с високи изисквания към производителността.

Недостатъците, които всички имат CVSS v3.1 оценка 9,8 от 10,0, са уязвимости във форматиращите низове, които могат да бъдат експлоатирани отдалечено и без удостоверяване, като потенциално позволяват отдалечено изпълнение на код, прекъсване на услугата и извършване на произволни операции на устройството.

Недостатъците във форматиращите низове са проблеми със сигурността, произтичащи от невалидирани и/или несанирани потребителски данни, въведени в параметрите на форматиращите низове на определени функции. Те могат да доведат до различни проблеми, включително разкриване на информация и изпълнение на код.

Нападателите използват тези недостатъци, като използват специално подготвени входни данни, изпратени до уязвимите устройства. В случая с маршрутизаторите на ASUS те се насочват към определени административни API функции на устройствата.

Недостатъците

Трите уязвимости, които бяха разкрити по-рано днес от тайванския CERT, са следните:

CVE-2023-39238: Липса на правилна проверка на входния форматиращ низ в свързания с iperf API модул „ser_iperf3_svr.cgi“.
CVE-2023-39239: Липса на правилна проверка на низ от входни формати в API на функцията за обща настройка.
CVE-2023-39240: Липса на правилна проверка на низ от входни формати в свързания с iperf API модул ‘ser_iperf3_cli.cgi’.

Горните проблеми засягат ASUS RT-AX55, RT-AX56U_V2 и RT-AC86U във версии на фърмуера съответно 3.0.0.4.386_50460, 3.0.0.4.386_50460 и 3.0.0.4_386_51529.

Препоръчителното решение е да приложите следните актуализации на фърмуера:

ASUS пусна пачове, които отстраняват трите недостатъка, в началото на август 2023 г. за RT-AX55, през май 2023 г. за AX56U_V2 и през юли 2023 г. за RT-AC86U.

Потребителите, които не са приложили актуализации на сигурността оттогава, трябва да считат устройствата си за уязвими на атаки и да приоритизират действията възможно най-скоро.

Освен това, тъй като много от пропуските в потребителските рутери са насочени към конзолата за уеб администриране, силно се препоръчва да се изключи функцията за отдалечено администриране (WAN Web Access), за да се предотврати достъпът от интернет.

#мрежова сигурност

По материали от Интернет

Подобни

Oпасен бъг в React Server Components

5.12.2025

laptop-bug-fix-lvcandy-istock-vectors-getty-images-56a6fa1b5f9b58b7d0e5ce40

Критична уязвимост във Vim за Windows

5.12.2025

vulnerabilities pexels-shkrabaanthony-5475752

Критична уязвимост в Sneeit Framework за WordPress е под активна експлоатация

5.12.2025

Социален инженеринг извън имейлите - заплахите в реалния живот

5.12.2025

Microsoft тихомълком поправи критична уязвимост в Windows Shortcut (LNK)

4.12.2025

Кибер Коледа 2025 – киберсигурността като мултидисциплинарна екосистема

3.12.2025

Споделете

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

"Обясняваме сложните неща с прости думи"