ASUS предупреждает о критическом обходе удаленной аутентификации на 7 маршрутизаторах

Компания ASUS выпустила новое обновление прошивки, устраняющее уязвимость в семи моделях маршрутизаторов, позволяющую удаленным злоумышленникам войти в систему устройства.

Дефект, отслеживаемый как CVE-2024-3080 (оценка CVSS v3.1: 9.8 "критическая"), представляет собой уязвимость обхода аутентификации, позволяющую неавторизованным удаленным злоумышленникам получить контроль над устройством.

По словам ASUS, проблема затрагивает следующие модели маршрутизаторов:

• XT8 (ZenWiFi AX XT8) - система Mesh WiFi 6 с трехдиапазонным покрытием и скоростью до 6600 Мбит/с, поддержкой AiMesh, AiProtection Pro, бесшовным роумингом и родительским контролем.
• XT8_V2 (ZenWiFi AX XT8 V2) - обновленная версия XT8, сохранившая аналогичные функции и улучшившая производительность и стабильность.
• RT-AX88U - двухдиапазонный маршрутизатор WiFi 6 со скоростью до 6000 Мбит/с, оснащенный 8 портами LAN, AiProtection Pro и адаптивным QoS для игр и потокового вещания.
• RT-AX58U - двухдиапазонный маршрутизатор WiFi 6, обеспечивающий скорость до 3000 Мбит/с, с поддержкой AiMesh, AiProtection Pro и MU-MIMO для эффективного подключения нескольких устройств.
• RT-AX57 - двухдиапазонный маршрутизатор WiFi 6, предназначенный для базовых потребностей, обеспечивающий скорость до 3000 Мбит/с, с поддержкой AiMesh и базовыми функциями родительского контроля.
• RT-AC86U - двухдиапазонный маршрутизатор WiFi 5 со скоростью до 2900 Мбит/с, с поддержкой AiProtection, адаптивного QoS и ускорения игр.
• RT-AC68U - двухдиапазонный маршрутизатор WiFi 5 со скоростью до 1900 Мбит/с, поддержкой AiMesh, AiProtection и надежным родительским контролем.
• ASUS рекомендует обновить прошивку своих устройств до последних версий, доступных на порталах загрузки (ссылки для каждой модели выше). Инструкции по обновлению прошивки доступны на этой странице FAQ.

Тем, кто не может обновить прошивку немедленно, производитель советует убедиться, что пароли учетной записи и WiFi являются надежными (более 10 символов подряд).

Кроме того, рекомендуется отключить доступ через интернет к панели администратора, удаленный доступ из глобальной сети, переадресацию портов, DDNS, VPN-сервер, DMZ и триггер портов.

Еще одна уязвимость, обнаруженная в том же пакете, - CVE-2024-3079, проблема переполнения буфера высокой степени серьезности (7.2), для использования которой требуется доступ к учетной записи администратора.

Тайваньский CERT также проинформировал общественность о CVE-2024-3912 во вчерашнем сообщении. Это критическая (9.8) уязвимость произвольной загрузки прошивки, позволяющая неаутентифицированным удаленным злоумышленникам выполнять системные команды на устройстве.

Дефект затрагивает несколько моделей маршрутизаторов ASUS, но не все из них получат обновления безопасности, так как срок их службы истек (EoL).

Для каждой модели предлагается следующее решение:

• DSL-N17U, DSL-N55U_C1, DSL-N55U_D1, DSL-N66U: Обновите прошивку до версии 1.1.2.3_792 или более поздней.
• DSL-N12U_C1, DSL-N12U_D1, DSL-N14U, DSL-N14U_B1: Обновите прошивку до версии 1.1.2.3_807 или более поздней.
• DSL-N16, DSL-AC51, DSL-AC750, DSL-AC52U, DSL-AC55U, DSL-AC56U: Обновление до версии микропрограммы 1.1.2.3_999 или более поздней.
• DSL-N10_C1, DSL-N10_D1, DSL-N10P_C1, DSL-N12E_C1, DSL-N16P, DSL-N16U, DSL-AC52, DSL-AC55: дата выхода из эксплуатации достигнута, рекомендуется замена.

Загрузка обновлений безопасности Master

Наконец, компания ASUS объявила об обновлении Download Master - утилиты, используемой в маршрутизаторах ASUS, которая позволяет пользователям управлять файлами и загружать их непосредственно на подключенный USB-накопитель через торрент, HTTP или FTP.

Выпущенная версия Download Master 3.1.0.114 устраняет пять проблем средней и высокой степени серьезности, связанных с произвольной загрузкой файлов, инъекцией команд ОС, переполнением буфера, отраженным XSS и хранимым XSS.

Хотя ни одна из этих проблем не является столь критичной, как CVE-2024-3080, пользователям рекомендуется обновить свою утилиту до версии 3.1.0.114 или более поздней для обеспечения оптимальной безопасности и защиты.