Компания Asus предупреждает о критической уязвимости обхода аутентификации в прошивке роутеров

Уязвимость с идентификатором CVE-2024-3080 (9.8 баллов по CVSS v3.1, «Критическая»), представляет собой обход аутентификации, позволяющий неавторизованным удаленным злоумышленникам получить контроль над устройством.

Согласно ASUS, проблема затрагивает следующие модели роутеров:

• XT8 (ZenWiFi AX XT8) – Mesh WiFi 6 система с трибандовым покрытием и скоростью до 6600 Мбит/с, поддержка AiMesh, AiProtection Pro, бесшовное роуминг и родительский контроль.
• XT8_V2 (ZenWiFi AX XT8 V2) – обновленная версия XT8 с улучшениями производительности и стабильности.
• RT-AX88U – двухдиапазонный WiFi 6 роутер со скоростью до 6000 Мбит/с, 8 LAN портов, AiProtection Pro и адаптивный QoS для игр и потокового видео.
• RT-AX58U – двухдиапазонный WiFi 6 роутер с поддержкой до 3000 Мбит/с, поддержка AiMesh, AiProtection Pro и MU-MIMO для эффективного подключения множества устройств.
• RT-AX57 – двухдиапазонный WiFi 6 роутер для базовых нужд, до 3000 Мбит/с, поддержка AiMesh и базовый родительский контроль.
• RT-AC86U – двухдиапазонный WiFi 5 роутер со скоростью до 2900 Мбит/с, поддержка AiProtection, адаптивный QoS и ускорение игр.
• RT-AC68U – двухдиапазонный WiFi 5 роутер, до 1900 Мбит/с, поддержка AiMesh, AiProtection и мощный родительский контроль.

ASUS рекомендует обновить устройства до последних версий прошивки, доступных на их порталах загрузки. Инструкции по обновлению прошивки доступны на странице FAQ.

Для пользователей, которые не могут сразу обновить прошивку, производитель рекомендует удостовериться, что учетные данные и пароли WiFi достаточно сложные (более 10 непрерывных символов).

Кроме того, рекомендуется отключить доступ к админ-панели из Интернета, удаленный доступ с WAN, переадресацию портов, DDNS, сервер VPN, DMZ и триггер портов.

Еще одна уязвимость, устраненная в этом же пакете обновления, — CVE-2024-3079, серьезная проблема переполнения буфера (7.2 балла по CVSS v3.1), для эксплуатации которой требуется доступ к учетной записи администратора.

CERT Тайваня (Центр реагирования на компьютерные инциденты) также информировал общественность о CVE-2024-3912. Проблема безопасности представляет собой критическую уязвимость произвольной загрузки прошивки (оценка 9.8 по CVSS v3.1), позволяющую неавторизованным удаленным злоумышленникам выполнять системные команды на устройстве.

Уязвимость затрагивает несколько моделей роутеров ASUS, но не все из них будут получать обновления безопасности, так как некоторые из них уже не обслуживаются.

Производитель рекомендует следующие решения для затронутых моделей:

• DSL-N17U, DSL-N55U_C1, DSL-N55U_D1, DSL-N66U: Обновление до версии прошивки 1.1.2.3_792 или более поздней.
• DSL-N12U_C1, DSL-N12U_D1, DSL-N14U, DSL-N14U_B1: Обновление до версии прошивки 1.1.2.3_807 или более поздней.
• DSL-N16, DSL-AC51, DSL-AC750, DSL-AC52U, DSL-AC55U, DSL-AC56U: Обновление до версии прошивки 1.1.2.3_999 или более поздней.
• DSL-N10_C1, DSL-N10_D1, DSL-N10P_C1, DSL-N12E_C1, DSL-N16P, DSL-N16U, DSL-AC52, DSL-AC55: Достигли даты окончания жизненного цикла, рекомендуется замена устройства.

Обновление безопасности для утилиты Download Master

Наконец, ASUS объявила об обновлении Download Master, утилиты, используемой на роутерах ASUS для загрузки файлов непосредственно на подключенное USB-устройство через торренты, HTTP или FTP.

Новая версия Download Master 3.1.0.114 устраняет пять проблем средней и высокой степени серьезности, связанных с произвольной загрузкой файлов, внедрением команд ОС, переполнением буфера, проблемами XSS.

Хотя ни одна из них не столь критична, как CVE-2024-3080, рекомендуется обновить утилиту до версии 3.1.0.114 или новее для оптимальной безопасности.