Тайванський виробник комп’ютерного обладнання Asus у понеділок надіслав термінові оновлення прошивки для усунення вразливостей у своїх лінійках продуктів Wi-Fi-маршрутизаторів і попередив користувачів про ризик атак віддаленого виконання коду.
У повідомленні було зазначено про щонайменше дев’ять дефектів безпеки, а також численні дрібні недоліки.
Найсерйозніша з дев’яти вразливостей, на думку авторів Security Week, – помилка з рейтингом критичності CVSS 9,8/10, яка з’явилась ще у 2018 році й відкриває доступ для атак виконання коду.
Вразливість, позначена як CVE-2018-116, є проблемою пошкодження пам’яті в Netatalk у версії 3.1.12.
«Це пов’язано з відсутністю перевірки розміру даних. Віддалений неавтентифікований зловмисник може використати цю вразливість для довільного виконання коду (ACE)», – йдеться у повідомленні.
Оновлення прошивки Asus також виправляє CVE-2022-26376 (CVSS 9.8/10), вразливість до пошкодження пам’яті у функції httpd unescape Asuswrt до 3.0.0.4.386_48706 та Asuswrt-Merlin New Gen до 386.7.
«Спеціально створений HTTP-запит може призвести до пошкодження пам’яті. Зловмисник може надіслати запит, щоб викликати цю вразливість», – підтвердили в Asus.
Компанія, яка в минулому вже мала проблеми з безпекою, навела список маршрутизаторів, які мають вразливості: Asus GT6, GT-AXE16000, GT-AX11000 PRO, GT-AX6000, GT-AX11000, GS-AX5400, GS-AX3000, XT9, XT8, XT8 V2, RT-AX86U PRO, RT-AX86U, RT-AX86S, RT-AX82U, RT-AX58U, RT-AX3000, TUF-AX6000 і TUF-AX5400.
Asus радить вимкнути служби, доступні з боку WAN, щоб уникнути потенційних небажаних вторгнень у разі відмови користувачів від встановлення нової версії прошивки. Це віддалений доступ із WAN, перенаправлення портів, DDNS, VPN-сервер, DMZ, виклик портів.
Також користувачам наполегливо рекомендують періодично перевіряти обладнання і процедури безпеки, щоб запобігти атакам на інфраструктуру маршрутизаторів.
«Оновіть прошивку маршрутизатора до останньої версії. Ми наполегливо рекомендуємо вам зробити це, як тільки буде випущено нову версію», – заявили в компанії, додавши, що користувачі повинні встановити окремі паролі на сторінках адміністрування бездротової мережі та маршрутизатора.
