Ngày 20 tháng 6 năm 2023Ravie Lakshmanan An ninh mạng / Lỗ hổng bảo mật
Công ty Đài Loan ASUS hôm thứ Hai đã phát hành các bản cập nhật chương trình cơ sở để giải quyết, trong số các vấn đề khác, chín lỗi bảo mật ảnh hưởng đến một loạt các kiểu bộ định tuyến.
Trong số 9 lỗi bảo mật, 2 lỗi được xếp hạng Nghiêm trọng và 6 lỗi được xếp hạng Cao về mức độ nghiêm trọng. Một lỗ hổng hiện đang chờ phân tích.
Danh sách các sản phẩm bị ảnh hưởng là GT6, GT-AXE16000, GT-AX11000 PRO, GT-AXE11000, GT-AX6000, GT-AX11000, GS-AX5400, GS-AX3000, XT9, XT8, XT8 V2, RT-AX86U PRO, RT -AX86U, RT-AX86S, RT-AX82U, RT-AX58U, RT-AX3000, TUF-AX6000 và TUF-AX5400.
Đứng đầu danh sách các bản sửa lỗi là CVE-2018-1160 và CVE-2022-26376, cả hai đều được xếp hạng 9,8 trên thang điểm 10 tối đa trên hệ thống tính điểm CVSS.
CVE-2018-1160 liên quan đến lỗi ghi ngoài giới hạn gần 5 năm tuổi trong các phiên bản Netatalk trước 3.1.12. Lỗi này có thể cho phép kẻ tấn công từ xa không được xác thực thực thi mã tùy ý.
CVE-2022-26376 đã được mô tả là một lỗ hổng hỏng bộ nhớ trong chương trình cơ sở Asuswrt có thể được kích hoạt bằng một yêu cầu HTTP được chế tạo đặc biệt.
Bảy sai sót khác như sau –
CVE-2022-35401 (Điểm CVSS: 8,1) – Lỗ hổng bỏ qua xác thực có thể cho phép kẻ tấn công gửi yêu cầu HTTP độc hại để có toàn quyền truy cập quản trị vào thiết bị. CVE-2022-38105 (Điểm CVSS: 7,5) – Một lỗ hổng tiết lộ thông tin có thể bị khai thác để truy cập thông tin nhạy cảm bằng cách gửi các gói mạng được chế tạo đặc biệt. CVE-2022-38393 (Điểm CVSS: 7,5) – Lỗ hổng tấn công từ chối dịch vụ (DoS) có thể được kích hoạt bằng cách gửi gói mạng được chế tạo đặc biệt. CVE-2022-46871 (Điểm CVSS: 8,8) – Việc sử dụng thư viện libusrsctp lỗi thời có thể khiến các thiết bị được nhắm mục tiêu dẫn đến các cuộc tấn công khác. CVE-2023-28702 (Điểm CVSS: 8,8) – Một lỗ hổng chèn lệnh có thể bị kẻ tấn công cục bộ khai thác để thực thi các lệnh hệ thống tùy ý, làm gián đoạn hệ thống hoặc chấm dứt dịch vụ. CVE-2023-28703 (Điểm CVSS: 7,2) – Lỗ hổng tràn bộ đệm dựa trên ngăn xếp có thể bị kẻ tấn công có quyền quản trị khai thác để thực thi các lệnh hệ thống tùy ý, làm gián đoạn hệ thống hoặc chấm dứt dịch vụ. CVE-2023-31195 (Điểm CVSS: Không áp dụng) – Lỗ hổng đối thủ ở giữa (AitM) có thể dẫn đến chiếm quyền điều khiển phiên của người dùng.
ASUS khuyến nghị người dùng áp dụng các bản cập nhật mới nhất càng sớm càng tốt để giảm thiểu rủi ro bảo mật. Như một giải pháp thay thế, chúng tôi khuyên người dùng nên tắt các dịch vụ có thể truy cập từ phía mạng WAN để tránh các cuộc xâm nhập không mong muốn tiềm ẩn.
“Các dịch vụ này bao gồm truy cập từ xa từ mạng WAN, chuyển tiếp cổng, DDNS, máy chủ VPN, DMZ, [and] cổng kích hoạt”, công ty cho biết, kêu gọi khách hàng kiểm tra định kỳ thiết bị của họ cũng như thiết lập mật khẩu riêng cho mạng không dây và trang quản trị bộ định tuyến.
