أصدرت شركة ASUS التايوانية يوم الاثنين تحديثات للبرامج الثابتة لمعالجة. من بين مشكلات أخرى. تسعة أخطاء أمنية تؤثر على مجموعة واسعة من طرز أجهزة التوجيه. تصدر ASUS تصحيحات لإصلاح أخطاء الأمان الحرجة التي تؤثر على نماذج أجهزة التوجيه المتعددة.
من بين العيوب الأمنية التسعة. تم تصنيف اثنتين منها على أنها حرجة وستة على أنها عالية الخطورة. كما هناك ثغرة في انتظار التحليل حاليًا.
قائمة المنتجات المتأثرة هي GT6 و GT-AXE16000 و GT-AX11000 PRO و GT-AXE11000 و GT-AX6000 و GT-AX11000 و GS-AX5400 و GS-AX3000 و XT9 و XT8 و XT8 V2 و RT-AX86U PRO و RT -AX86U و RT-AX86S و RT-AX82U و RT-AX58U و RT-AX3000 و TUF-AX6000 و TUF-AX5400.
تتصدر قائمة الإصلاحات CVE-2018-1160 و CVE-2022-26376. وكلاهما مصنف 9.8 من 10 كحد أقصى في نظام تسجيل CVSS.
يتعلق CVE-2018-1160 بخلل كتابة خارج الحدود يبلغ من العمر خمس سنوات تقريبًا في إصدارات Netatalk قبل 3.1.12 والذي قد يسمح لمهاجم بعيد غير مصادق بتنفيذ تعليمات برمجية عشوائية.
تم وصف CVE-2022-26376 على أنها ثغرة أمنية لتلف الذاكرة في البرامج الثابتة Asuswrt والتي يمكن تشغيلها عن طريق طلب HTTP معد خصيصًا.
العيوب السبعة الأخرى هي كما يلي –
- CVE-2022-35401 (درجة CVSS: 8.1) – ثغرة أمنية تتجاوز المصادقة قد تسمح للمهاجم بإرسال طلبات HTTP ضارة للحصول على وصول إداري كامل إلى الجهاز.
- CVE-2022-38105 (درجة CVSS: 7.5) – ثغرة أمنية في الكشف عن المعلومات يمكن استغلالها للوصول إلى معلومات حساسة عن طريق إرسال حزم شبكة معدة خصيصًا.
- CVE-2022-38393 (درجة CVSS: 7.5) – ثغرة أمنية لرفض الخدمة (DoS) يمكن تشغيلها عن طريق إرسال حزمة شبكة مُعدة خصيصًا.
- CVE-2022-46871 (درجة CVSS: 8.8) – استخدام مكتبة libusrsctp قديمة يمكن أن تفتح الأجهزة المستهدفة لهجمات أخرى.
- CVE-2023-28702 (درجة CVSS: 8.8) – ثغرة في إدخال الأوامر يمكن أن يستغلها مهاجم محلي لتنفيذ أوامر نظام تعسفية أو تعطيل النظام أو إنهاء الخدمة.
- CVE-2023-28703 (درجة CVSS: 7.2) – ثغرة أمنية في تجاوز سعة المخزن المؤقت المستندة إلى المكدس والتي يمكن استغلالها بواسطة مهاجم لديه امتيازات المسؤول لتنفيذ أوامر نظام عشوائية أو تعطيل النظام أو إنهاء الخدمة.
- CVE-2023-31195 (درجة CVSS: N / A) – عيب خصم في المنتصف (AitM) يمكن أن يؤدي إلى اختطاف جلسة المستخدم.
توصي ASUS المستخدمين بتطبيق آخر التحديثات في أسرع وقت ممكن للتخفيف من مخاطر الأمان. كحل بديل. فإنه ينصح المستخدمين بتعطيل الخدمات التي يمكن الوصول إليها من جانب WAN لتجنب التدخلات غير المرغوب فيها المحتملة. تصدر ASUS تصحيحات لإصلاح أخطاء الأمان الحرجة التي تؤثر على نماذج أجهزة التوجيه المتعددة.
وقالت الشركة: “تشمل هذه الخدمات الوصول عن بُعد من WAN. وإعادة توجيه المنفذ. و DDNS. وخادم VPN. و DMZ. و [و] مشغل المنفذ”. وحثت العملاء على مراجعة أجهزتهم بشكل دوري بالإضافة إلى إعداد كلمات مرور منفصلة للشبكة اللاسلكية و صفحة إدارة جهاز التوجيه.