Компания Asus выпустила новую прошивку с накопительными обновлениями безопасности, в которой устранила критические уязвимости в нескольких моделях маршрутизаторов. Теперь производитель предупреждает пользователей о необходимости как можно скорее обновить устройства или ограничить им доступ к интернету до установки патчей.
В общей сложности обновленная прошивка устраняет девять уязвимостей, среди которых есть баги, которые оцениваются как серьезные и критические.
Наиболее серьезными из исправленных проблем стали CVE-2022-26376 (9,8 балла по шкале CVSS) и CVE-2018-1160 (9,8 балла по шкале CVSS). Первая из них представляет собой критическую уязвимость, связанную с повреждением памяти в Asuswrt до версии 3.0.0.4.386_48706 и Asuswrt-Merlin New Gen до версии 386.7. Этот баг может позволить злоумышленникам спровоцировать отказ в обслуживании или выполнить произвольный код.
«Специально составленный HTTP-запрос может привести к повреждению памяти. Злоумышленник может отправить сетевой запрос, чтобы эксплуатировать эту уязвимость», — объясняют в Asus.
Вторая уязвимость почти пятилетней давности (CVE-2018-1160) связана out-of-bounds чтением и записью в Netatalk до версии 3.1.12 и так же может использоваться для выполнения произвольного кода на непропатченных устройствах.
«Обратите внимание, если вы решите не устанавливать новую версию прошивки, мы настоятельно рекомендуем отключить службы, доступные со стороны WAN, чтобы избежать потенциально нежелательных вторжений. В число этих служб входят удаленный доступ посредством WAN, переадресация портов, DDNS, VPN-сервер, DMZ и триггер порт», — предупреждают разработчики.
Сообщается, что в список подверженных проблемам устройств входят следующие модели роутеров: GT6, GT-AXE16000, GT-AX11000 PRO, GT-AX6000, GT-AX11000, GS-AX5400, GS-AX3000, XT9, XT8, XT8 V2, RT-AX86U PRO, RT-AX86U, RT-AX86S, RT-AX82U, RT-AX58U, RT-AX3000, TUF-AX6000 и TUF-AX5400.
Помимо установки патчей компания рекомендует создавать отдельные пароли для администрирования беспроводной сети и самого маршрутизатора, состоящие не менее чем из восьми символов (заглавные буквы, цифры и символы), а также избегать использования одного и того же пароля для нескольких устройств или служб.