Tajvanska kompanija ASUS u ponedjeljak je objavila ažuriranja firmware-a kako bi riješila, između ostalog, devet sigurnosnih grešaka koje utiču na širok spektar modela rutera.
Od devet sigurnosnih nedostataka, dvije su ocijenjene kritičnim, a šest visokom ozbiljnošću. Jedna ranjivost trenutno čeka analizu.
Lista pogođenih proizvoda su GT6, GT-AXE16000, GT-AX11000 PRO, GT-AXE11000, GT-AX6000, GT-AX11000, GS-AX5400, GS-AX3000, XT9, XT8, XRT-AX V8, PRO -AX86U, RT-AX86S, RT-AX82U, RT-AX58U, RT-AX3000, TUF-AX6000 i TUF-AX5400.
Na vrhu liste popravki su CVE-2018-1160 i CVE-2022-26376, a oba su ocenjena sa 9,8 od maksimalnih 10 na CVSS sistemu bodovanja.
CVE-2018-1160 se odnosi na skoro pet godina staru grešku za pisanje van granica u verzijama Netatalk-a prije 3.1.12 koja bi mogla omogućiti udaljenom neautorizovanom napadaču da postigne proizvoljno izvršenje koda.
CVE-2022-26376 je opisan kao ranjivost na oštećenje memorije u firmware-u Asuswrt koja se može pokrenuti pomoću posebno kreiranog HTTP zahtjeva.
Ostalih sedam nedostataka su sledeći:
- CVE-2022-35401 (CVSS rezultat: 8,1) – Ranjivost zaobilaženja autentifikacije koja bi mogla dozvoliti napadaču da pošalje maliciozne HTTP zahtjeve kako bi dobio puni administrativni pristup uređaju.
- CVE-2022-38105 (CVSS rezultat: 7,5) – Ranjivost otkrivanja informacija koja bi se mogla iskoristiti za pristup osjetljivim informacijama slanjem posebno kreiranih mrežnih paketa.
- CVE-2022-38393 (CVSS rezultat: 7,5) – Ranjivost uskraćivanja usluge (DoS) koja se može pokrenuti slanjem posebno kreiranog mrežnog paketa.
- CVE-2022-46871 (CVSS rezultat: 8,8) – Upotreba zastarjele biblioteke libusrsctp koja bi mogla otvoriti ciljane uređaje za druge napade.
- CVE-2023-28702 (CVSS rezultat: 8,8) – Greška ubrizgavanja komande koju bi lokalni napadač mogao iskoristiti da izvrši proizvoljne sistemske komande, poremeti sistem ili prekine uslugu.
- CVE-2023-28703 (CVSS rezultat: 7,2) – Ranjivost prepunjavanja buffer-a zasnovana na stack-u koju bi napadač sa administratorskim privilegijama mogao iskoristiti da izvrši proizvoljne sistemske komande, poremeti sistem ili prekine uslugu.
- CVE-2023-31195 (CVSS rezultat: N/A) – Greška protivnik u sredini (AitM) koja može dovesti do otmice sesije korisnika.
ASUS preporučuje korisnicima da primene najnovija ažuriranja što je pre moguće kako bi umanjili bezbjednosne rizike. Kao zaobilazno rešenje, savjetuje se korisnicima da onemoguće usluge dostupne sa strane WAN-a kako bi izbjegli potencijalne neželjene upade.
“Ove usluge uključuju daljinski pristup sa WAN-a, prosljeđivanje portova, DDNS, VPN server, DMZ i okidač port-a” rekla je kompanija, pozivajući klijente da povremeno revidiraju svoju opremu, kao i da postave zasebne lozinke za bežičnu mrežu i stranica za administraciju rutera.
Izvor: The Hacker News