Компания Asus выпустила обновление прошивки, в которой устранена уязвимость, затрагивающая сразу семь моделей роутеров и позволяющая удаленным злоумышленникам обойти аутентификацию.
Проблема получила идентификатор CVE-2024-3080 и 9,8 балла по шкале CVSS, то есть считается критической. Так как уязвимость связана с обходом аутентификации, она позволяет удаленным злоумышленникам, не прошедшим аутентификацию, захватить контроль над устройством.
Баг затрагивает роутеры следующих моделей: XT8 (ZenWiFi AX XT8), XT8_V2 (ZenWiFi AX XT8 V2), RT-AX88U, RT-AX58U, RT-AX57, RT-AC86U и RT-AC68U.
В силу серьезности проблемы Asus рекомендует пользователям перечисленных девайсов как можно скорее обновить прошивку своих устройств до последних доступных версий.
Тем, кто по каким-то причинам не может установить обновления немедленно, производитель советует убедиться, что пароли от учетной записи и Wi-Fi являются надежными, а их длина составляет не менее 10 символов. Также рекомендуется отключить доступ к панели администратора через интернет, удаленный доступ через WAN, переадресацию портов, DDNS, VPN-сервер, DMZ и Port Trigger.
Свежие обновления прошивки включают патч и для другой уязвимости — CVE-2024-3079, которая связана с переполнением буфера (7,2 балла по шкале CVSS). Для эксплуатации этого бага требуется доступ к учетной записи администратора.
Кроме того, Тайваньский CERT сообщает о еще одном критической баге — CVE-2024-3912 (9,9 балла по шкале CVSS). Эта уязвимость связана с загрузкой произвольной прошивки и позволяет удаленным атакующим выполнять системные команды на устройстве.
Эта проблема так же затрагивает несколько моделей маршрутизаторов Asus, однако не все из них получат обновления, так как поддержка некоторых уже прекращена:
- DSL-N17U, DSL-N55U_C1, DSL-N55U_D1, DSL-N66U: обновить прошивку до версии 1.1.2.3_792 или более поздней;
- DSL-N12U_C1, DSL-N12U_D1, DSL-N14U, DSL-N14U_B1: обновить прошивку до версии 1.1.2.3_807 или более поздней;
- DSL-N16, DSL-AC51, DSL-AC750, DSL-AC52U, DSL-AC55U, DSL-AC56U: обновить до версии микропрограммы 1.1.2.3_999 или более поздней;
- DSL-N10_C1, DSL-N10_D1, DSL-N10P_C1, DSL-N12E_C1, DSL-N16P, DSL-N16U, DSL-AC52, DSL-AC55: поддержка устройств прекращена, рекомендуется заменить устройство на более новое.
Помимо перечисленных выше проблем разработчики Asus сообщают об обновлении Download Master, утилиты, используемой в роутерах компании для загрузки и управления файлов непосредственно на подключенный USB-накопитель через торрент, HTTP или FTP.
В свежей Download Master версии 3.1.0.114 устранены сразу пять проблем, связанных с загрузкой произвольных файлов, инъекциями команд, переполнением буфера, отраженным и хранимыми XSS.
