Эксперт по информационной безопасности Кайл Лаветт (Kyle Lovett) сообщил в списке рассылки Bugtruq о критических уязвимостях в десяти маршрутизаторах Asus, работающих на ядре Linux 2.6.XX от 2007 года.
- RT-AC66R
- RT-AC66U
- RT-N66R
- RT-N66U
- RT-AC56U
- RT-N56R
- RT-N56U
- RT-N14U
- RT-N16
- RT-N16R
Кайл Лаветт говорит, что в июне написал в компанию Asus об уязвимостях в модели RT-N66U, но с тех пор компания не предприняла никаких шагов для уведомления пользователей об опасности, хотя, вероятнее всего, и начала разработку патча. Более того, компания продолжила рекламировать свой облачный сервис AiCloud, хотя взлом маршрутизаторов осуществляется именно при активации этого сервиса.
После проведения атаки типа directory traversal и обхода авторизации злоумышленник получает доступ ко всем файлам, находящимся на устройствах, подключенных к маршрутизатору по USB. Злоумышленник также получает доступ к настройкам маршрутизатора и трафику, проходящему через него.
Автор посчитал необходимым сообщить об уязвимости на широкую аудиторию, потому что количество пользователей продукции Asus довольно велико, и они должны знать об угрозе.
До выпуска новых версий прошивок компания Asus рекомендует отключить в маршрутизаторах все сервисы AiCloud, такие как Cloud Disk, Smart Access и Smart Sync.
