La empresa taiwanesa ASUS lanzó el lunes actualizaciones de firmware para abordar, entre otros problemas, nueve errores de seguridad que afectan a una amplia gama de modelos de enrutadores.
De los nueve fallos de seguridad, dos tienen una gravedad crítica y seis tienen una gravedad alta. Una vulnerabilidad está actualmente pendiente de análisis.
La lista de productos afectados son GT6, GT-AXE16000, GT-AX11000 PRO, GT-AXE11000, GT-AX6000, GT-AX11000, GS-AX5400, GS-AX3000, XT9, XT8, XT8 V2, RT-AX86U PRO, RT -AX86U, RT-AX86S, RT-AX82U, RT-AX58U, RT-AX3000, TUF-AX6000 y TUF-AX5400.
Encabezando la lista de correcciones están CVE-2018-1160 y CVE-2022-26376 , las cuales tienen una calificación de 9.8 de un máximo de 10 en el sistema de puntuación CVSS.
CVE-2018-1160 se refiere a un error de escritura fuera de los límites de casi cinco años en las versiones de Netatalk anteriores a la 3.1.12 que podría permitir que un atacante remoto no autenticado logre la ejecución de código arbitrario.
CVE-2022-26376 se ha descrito como una vulnerabilidad de corrupción de memoria en el firmware de Asuswrt que podría activarse mediante una solicitud HTTP especialmente diseñada.
Los otros siete defectos son los siguientes:
- CVE-2022-35401 (puntaje CVSS: 8.1): una vulnerabilidad de omisión de autenticación que podría permitir que un atacante envíe solicitudes HTTP maliciosas para obtener acceso administrativo completo al dispositivo.
- CVE-2022-38105 (puntaje CVSS: 7.5): una vulnerabilidad de divulgación de información que podría explotarse para acceder a información confidencial mediante el envío de paquetes de red especialmente diseñados.
- CVE-2022-38393 (puntaje CVSS: 7.5): una vulnerabilidad de denegación de servicio (DoS) que podría activarse al enviar un paquete de red especialmente diseñado.
- CVE-2022-46871 (puntaje CVSS: 8.8): el uso de una biblioteca libusrsctp desactualizada que podría abrir los dispositivos objetivo a otros ataques.
- CVE-2023-28702 (puntaje CVSS: 8.8): una falla de inyección de comandos que podría ser aprovechada por un atacante local para ejecutar comandos arbitrarios del sistema, interrumpir el sistema o cancelar el servicio.
- CVE-2023-28703 (puntaje CVSS: 7.2): una vulnerabilidad de desbordamiento de búfer basada en pila que podría ser aprovechada por un atacante con privilegios de administrador para ejecutar comandos arbitrarios del sistema, interrumpir el sistema o terminar el servicio.
- CVE-2023-31195 (puntuación CVSS: N/A): una falla de adversario en el medio (AitM) que podría conducir a un secuestro de la sesión de un usuario.
ASUS recomienda que los usuarios apliquen las últimas actualizaciones lo antes posible para mitigar los riesgos de seguridad. Como solución alternativa, aconseja a los usuarios que deshabiliten los servicios accesibles desde el lado de la WAN para evitar posibles intrusiones no deseadas.
«Estos servicios incluyen acceso remoto desde WAN, reenvío de puertos, DDNS, servidor VPN, DMZ [y] activación de puertos», dijo la compañía, instando a los clientes a auditar periódicamente sus equipos, así como a establecer contraseñas separadas para la red inalámbrica y el página de administración del enrutador.
Fuente y redacción: thehackernews.com