ASUS išleido naują programinės aparatinės įrangos naujinimą, kuris pašalina pažeidžiamumą, paveikiantį septynis maršrutizatorių modelius, leidžiančius nuotoliniams užpuolikams prisijungti prie įrenginių.
Trūkumas, stebimas kaip CVE-2024-3080 (CVSS v3.1 balas: 9,8 „kritinis“), yra autentifikavimo apėjimo pažeidžiamumas, leidžiantis neautentifikuotiems nuotoliniams užpuolikams perimti įrenginio valdymą.
ASUS teigia, kad problema turi įtakos šiems maršrutizatorių modeliams:
- XT8 („ZenWiFi AX XT8“) – Mesh WiFi 6 sistema, siūlanti trijų juostų aprėptį iki 6600 Mbps greičiu, AiMesh palaikymą, AiProtection Pro, sklandų tarptinklinį ryšį ir tėvų kontrolę.
- XT8_V2 („ZenWiFi AX XT8 V2“) – Atnaujinta XT8 versija, išlaikanti panašias funkcijas, pagerinusi našumą ir stabilumą.
- RT-AX88U – Dviejų juostų „WiFi 6“ maršrutizatorius, kurio greitis yra iki 6000 Mbps, su 8 LAN prievadais, „AiProtection Pro“ ir prisitaikančiu QoS žaidimams ir srautiniam perdavimui.
- RT-AX58U – Dviejų juostų „WiFi 6“ maršrutizatorius, užtikrinantis iki 3000 Mbps spartą, su „AiMesh“ palaikymu, „AiProtection Pro“ ir MU-MIMO efektyviam kelių įrenginių ryšiui.
- RT-AX57 – Dviejų juostų WiFi 6 maršrutizatorius, sukurtas pagrindiniams poreikiams, siūlantis iki 3000 Mb/s, su AiMesh palaikymu ir pagrindine tėvų kontrole.
- RT-AC86U – Dviejų juostų „WiFi 5“ maršrutizatorius, kurio greitis yra iki 2900 Mbps, su „AiProtection“, adaptyviu QoS ir žaidimo pagreitinimu.
- RT-AC68U – Dviejų juostų „WiFi 5“ maršrutizatorius, siūlantis iki 1900 Mbps spartą, su „AiMesh“ palaikymu, „AiProtection“ ir patikima tėvų kontrole.
ASUS siūlo žmonėms atnaujinti savo įrenginius į naujausias programinės įrangos versijas, kurias galima rasti atsisiuntimo portaluose (kiekvieno modelio nuorodos aukščiau). Aparatinės aparatinės įrangos atnaujinimo instrukcijos pateikiamos šiame DUK puslapyje.
Tiems, kurie negali nedelsiant atnaujinti programinės aparatinės įrangos, pardavėjas siūlo užtikrinti, kad jų paskyros ir „WiFi“ slaptažodžiai būtų stiprūs (daugiau nei 10 simbolių iš eilės).
Be to, rekomenduojama išjungti interneto prieigą prie administratoriaus skydelio, nuotolinę prieigą iš WAN, prievado persiuntimą, DDNS, VPN serverį, DMZ ir prievado paleidiklį.
Dar vienas pažeidžiamumas, pašalintas tame pačiame pakete, yra CVE-2024-3079 – labai rimta (7.2) buferio perpildymo problema, kuriai išnaudoti reikia administratoriaus paskyros prieigos.
Taivano CERT taip pat informavo visuomenę apie CVE-2024-3912 vakar paskelbtame įraše, kuris yra kritinis (9.8) savavališkas programinės įrangos įkėlimo pažeidimas, leidžiantis neautentifikuotiems nuotoliniams užpuolikams vykdyti sistemos komandas įrenginyje.
Defektas turi įtakos keliems ASUS maršrutizatorių modeliams, tačiau ne visi gaus saugos naujinimus, nes pasibaigs jų eksploatavimo laikas (EoL).
Siūlomas sprendimas kiekvienam paveiktam modeliui yra toks:
- DSL-N17U, DSL-N55U_C1, DSL-N55U_D1, DSL-N66U: naujovinkite į 1.1.2.3_792 ar naujesnę programinės aparatinės įrangos versiją.
- DSL-N12U_C1, DSL-N12U_D1, DSL-N14U, DSL-N14U_B1: naujovinkite į 1.1.2.3_807 ar naujesnę programinės aparatinės įrangos versiją.
- DSL-N16, DSL-AC51, DSL-AC750, DSL-AC52U, DSL-AC55U, DSL-AC56U: atnaujinkite į 1.1.2.3_999 ar naujesnę programinės aparatinės įrangos versiją.
- DSL-N10_C1, DSL-N10_D1, DSL-N10P_C1, DSL-N12E_C1, DSL-N16P, DSL-N16U, DSL-AC52, DSL-AC55: pasiekta EoL data, rekomenduojama pakeisti.
Atsisiųskite pagrindinius saugos naujinimus
Galiausiai ASUS paskelbė apie „Download Master“ atnaujinimą – ASUS maršrutizatoriuose naudojamą priemonę, leidžiančią vartotojams valdyti ir atsisiųsti failus tiesiai į prijungtą USB laikmeną per torrent, HTTP arba FTP.
Naujai išleista „Download Master“ versija 3.1.0.114 sprendžia penkias vidutinio ir didelio sunkumo problemas, susijusias su savavališku failų įkėlimu, OS komandų įpurškimu, buferio perpildymu, atspindėtu XSS ir saugomomis XSS problemomis.
Nors nė vienas iš jų nėra toks svarbus kaip CVE-2024-3080, vartotojams rekomenduojama atnaujinti savo paslaugų programą į 3.1.0.114 ar naujesnę versiją, kad būtų užtikrintas optimalus saugumas ir apsauga.