Hoppa yfir valmynd

Alvarlegir veikleikar í ASUS

20. jún. 2023

Tilkynnt var um nokkra alvarlega veikleika í mörgum tegundum af beinum (e. Routers) hjá ASUS. ASUS hefur gefið út nýjan vélbúnað með auknum öryggisuppfærslum [1]. CERT-IS mælir með að uppfært sé eins fljótt og auðið er í útgáfu þar sem veikleikinn hefur verið lagfærður eða takmarka WAN aðgang þar til hægt er að uppfæra [2]. 

Alvarlegir veikleikar (e. critical)

CVE-2018-1160
Veikleikinn er með CVSSv3 skor uppá 9.8 og gerir óeinkenndum ógnaraðila kleift að keyra upp spillikóða á beini [3].

CVE-2022-26376
Veikleikinn er með CVSSv3 skor uppá 9.8 og gerir ógnaraðila kleift að senda ítrekaðar fyrirspurnir á beini sem getur ollið niðurtíma (e. Denial-of-Service). Einnig getur ógnaraðili í einhverjum tilfellum keyrt upp spillikóða [4].

Eftirfarandi kerfi eru veik fyrir gallanum:

GT6: < 3.0.0.4.388.23145
GT-AXE16000: < 3.0.0.4.388.23012 
GT-AX11000 Pro: < 3.0.0.4.388.23285 
GT-AXE11000: < 3.0.0.4.388.23482 
GT-AX6000: < 3.0.0.4.388.23285 
GT-AX11000: < 3.0.0.4.388.23285 
GS-AX5400: < 3.0.0.4.388.23012 
ZenWiFi XT9: < 3.0.0.4.388.23285 
ZenWiFi AX (XT8): < 3.0.0.4.388.23285 
RT-AX86U Pro: < 3.0.0.4.388.23285 
RT-AX86 Series(RT-AX86U/RT-AX86S): < 3.0.0.4.388.23285 
RT-AX82U: < 3.0.0.4.388.23285 
RT-AX58U: < 3.0.0.4.388.23403 
RT-AX3000: < 3.0.0.4.388.23403 
TUF-AX6000: < 3.0.0.4.388.31927 
TUF-AX5400: < 3.0.0.4.388.23285

Veikleikinn hefur verið lagfærður í eftirfarandi útgáfum:

GT6: 3.0.0.4.388.23145
GT-AXE16000: 3.0.0.4.388.23012
GT-AX11000 Pro: 3.0.0.4.388.23285
GT-AXE11000: 3.0.0.4.388.23482
GT-AX6000: 3.0.0.4.388.23285
GT-AX11000: 3.0.0.4.388.23285
GS-AX5400: 3.0.0.4.388.23012
ZenWiFi AX (XT8): 3.0.0.4.388.23285
RT-AX86U Pro: 3.0.0.4.388.23285
RT-AX86 Series(RT-AX86U/RT-AX86S): 3.0.0.4.388.23285
RT-AX82U: 3.0.0.4.388.23285
RT-AX58U: 3.0.0.4.388.23403
RT-AX3000: 3.0.0.4.388.23403
TUF-AX6000: 3.0.0.4.388.31927
TUF-AX5400: 3.0.0.4.388.23285

Tilvísanir:

[1] https://www.asus.com/content/asus-product-security-advisory/#:~:text=06/19/2023%20New%20firmware%20with%20accumulate%20security%20updates
[2] https://www.bleepingcomputer.com/news/security/asus-urges-customers-to-patch-critical-router-vulnerabilities/
[3] https://nvd.nist.gov/vuln/detail/CVE-2018-1160
[4] https://nvd.nist.gov/vuln/detail/CVE-2022-26376