Сразу несколько компаний и независимых ИБ-специалистов сообщили об уязвимостях, найденных в различных моделях роутеров Asus.

Так, аналитики компании Fortinet предупредили, что из-за критической уязвимости злоумышленники имеют возможность выполнить на устройствах произвольный код с root-привилегиями. Баг заключается в недостаточной «санации» параметров (unsanitized), проходящих через /apply.cgi, что позволяет осуществить инъекцию команд. Проблеме подвержены следующие модели роутеров:

  • ASUS RT-AC66U, RT-AC68U, RT-AC86U, RT-AC88U, RT-AC1900, RT-AC2900 и RT-AC3100 с прошивкой до версии 3.0.0.4.384_10007;
  • ASUS RT-N18U с прошивкой до версии 3.0.0.4.382.39935;
  • ASUS RT-AC87U, RT-AC3200 с прошивкой до версии 3.0.0.4.382.50010;
  • ASUS RT-AC5300 с прошивкой до версии 3.0.0.4.384.20287.

Практически одновременно с этим сообщением независимый украинский исследователь Евгений Докукин (также известный под псевдонимом MustLive) раскрыл информацию о XSS- и CSRF-уязвимостях, которые представляют угрозу сразу для нескольких моделей серии Asus RT-N10. Проблемы позволяют полностью перехватить контроль над уязвимым устройством.

Также информацией о двух багах в составе AsusWRT поделились специалисты Beyond Security SecuriTeam Secure Disclosure, которые в данном случае представляли интересы независимого специалиста Педро Рибеиро (Pedro Ribeiro). Одна из проблем позволяет атакующему сбросить пароль администратора устройства при помощи специально сформированного запроса. При этом Рибеиро утверждает, что даже не прибегая к сбору пароля, на уязвимых устройствах возможно выполнить произвольный код.

И наконец, ряд проблем в продуктах Asus выявили специалисты компании S2 Grupo. В частности, исследователи предупредили, что атакующий может изменить учетные данные любого пользователя, включая администратора, отправив специальный запрос, адресованный форме сброса пароля. Также эксперты предупредили о проблемах в сервисе Asus AiCloud, который оказался подвержен ряду XXE-уязвимостей. Согласно отчету специалистов, баги представляют опасность для следующих устройств:

  • DSL-AC51;
  • DSL-AC52U;
  • DSL-AC55U;
  • DSL-N55U C1;
  • DSL-N55U D1;
  • DSL-AC56U;
  • DSL-N10_C1;
  • DSL-N12U C1;
  • DSL-N12E C1;
  • DSL-N14U;
  • DSL-N14U-B1;
  • DSL-N16;
  • DSL-N16U;
  • DSL-N17U;
  • DSL-N66U;
  • DSL-AC750.

Разработчики Asus уже представили исправления для большинства перечисленных уязвимостей, так что теперь пользователям проблемных устройств рекомендуется проверить наличие обновленной прошивки на официальном сайте компании.

8 комментариев

  1. john_

    05.02.2018 at 15:20

    Асус разочаровывает с обновлениями. Проблема есть, а исправлений не будет (почти уверен). Обновления выходили несколько лет назад. Нужно переходить на кастом.

    • Egor3f

      05.02.2018 at 16:06

      Поэтому и перешёл на микротик, там вся линейка обновляется одновременно, ибо похожее железо, а не как у а*усов и прочих *-линков – одна модель 500 ревизий, и не на все есть кастомы.

      • hake

        06.02.2018 at 18:05

        За микротик плюсую, но железо у них, конечно же, дико разное. Просто архитектура RouterOS и грамотный подход позволяют скрыть все нюансы и обновлять всю линейку разом. Никто не мешает Asus или Zyxel сделать также, и не парить пользователей с угадыванием возможности апдейта по цвету корпуса модели и/или ревизии. Было бы желание.

    • NLWS

      07.02.2018 at 12:46

      нужно переходить на Микротик и забыть об асусе, как о страшном сне

  2. Union Jack

    06.02.2018 at 07:59

    особенно рассмешила вот эта вот часть публикации независимого украинского эксперта:

    I found this and other routers in 2014-2015 to take control over Russian
    terrorists in Crimea, Donetsk and Lugansks regions of Ukraine. Read about it
    in the list
    ничего умнее придумать не мог

  3. Kyrdistan

    09.02.2018 at 16:22

    не нойте, уже вышла обнова для асусов — я обновил свой rt87 ужо

  4. Themistocles

    20.02.2018 at 17:50

    Микротик конечно хорошо, но как быть простым людям? Которые сойдут с ума когда увидят консольку МТ

  5. Juni Cortez

    23.03.2018 at 16:38

    Хорошо хоть пилят апдейты. А так складывается впечатление что последнее время Асус больше уделяет внимания «геймерскому» виду и свитоперделкам в веб-морде, чем стабильности и безопасности. Говорю про недешевые (для потребительского сектора) модели, типа RT-87U.

Оставить мнение