ASUS, uzaktaki saldırganların cihazlara giriş yapmasına olanak tanıyan yedi yönlendirici modelini etkileyen bir güvenlik açığını gideren yeni bir ürün yazılımı güncellemesi yayınladı.
CVE-2024-3080 (CVSS v3.1 puanı: 9,8 “kritik”) olarak takip edilen kusur, kimliği doğrulanmamış uzaktaki saldırganların cihazın kontrolünü ele geçirmesine olanak tanıyan bir kimlik doğrulama atlama güvenlik açığıdır.
ASUS, sorunun aşağıdaki yönlendirici modellerini etkilediğini söylüyor:
- XT8 (ZenWiFi AX XT8) – 6600 Mbps’ye varan hızlarla üç bantlı kapsama alanı, AiMesh desteği, AiProtection Pro, kesintisiz dolaşım ve ebeveyn denetimleri sunan Mesh WiFi 6 sistemi.
- XT8_V2 (ZenWiFi AX XT8 V2) – Performans ve kararlılıktaki iyileştirmelerle benzer özellikleri koruyan XT8’in güncellenmiş sürümü.
- RT-AX88U – 8 LAN bağlantı noktası, AiProtection Pro ve oyun ve akış için uyarlanabilir QoS özelliklerine sahip, 6000 Mbps’ye varan hızlara sahip çift bantlı WiFi 6 yönlendirici.
- RT-AX58U – Verimli çoklu cihaz bağlantısı için AiMesh desteği, AiProtection Pro ve MU-MIMO ile 3000 Mbps’ye kadar hız sağlayan çift bantlı WiFi 6 yönlendirici.
- RT-AX57 – Temel ihtiyaçlar için tasarlanmış, 3000 Mbps’ye kadar hız sunan, AiMesh desteği ve temel ebeveyn denetimleriyle çift bantlı WiFi 6 yönlendirici.
- RT-AC86U – AiProtection, uyarlanabilir QoS ve oyun hızlandırma özelliklerine sahip, 2900 Mbps’ye varan hızlara sahip çift bantlı WiFi 5 yönlendirici.
- RT-AC68U – AiMesh desteği, AiProtection ve güçlü ebeveyn denetimleriyle 1900 Mbps’ye kadar hız sunan çift bantlı WiFi 5 yönlendirici.
ASUS, kullanıcıların cihazlarını indirme portallarında (yukarıdaki her model için bağlantılar) bulunan en son donanım yazılımı sürümlerine güncellemelerini önerir. Donanım yazılımı güncelleme talimatlarını bu SSS sayfasında bulabilirsiniz.
Üretici yazılımını hemen güncelleyemeyenler için satıcı, hesaplarının ve Wi-Fi şifrelerinin güçlü (ardışık olmayan 10 karakter uzunluğunda) olduğundan emin olmalarını öneriyor.
Ayrıca yönetici paneline internet erişimini, WAN’dan uzaktan erişimi, port yönlendirmeyi, DDNS’yi, VPN sunucusunu, DMZ’yi ve port tetikleyiciyi devre dışı bırakmanız önerilir.
Aynı pakette ele alınan bir güvenlik açığı daha, yararlanmak için yönetici hesabı erişimi gerektiren yüksek önem derecesine sahip (7.2) bir arabellek taşması sorunu olan CVE-2024-3079’dur.
Tayvanlı CERT ayrıca dün yaptığı bir gönderide kamuoyunu CVE-2024-3912 hakkında bilgilendirdi; bu güvenlik açığı, kimliği doğrulanmamış uzak saldırganların cihazda sistem komutlarını yürütmesine olanak tanıyan kritik (9.8) bir rastgele ürün yazılımı yükleme güvenlik açığıdır.
Kusur birden fazla ASUS yönlendirici modelini etkiliyor ancak kullanım ömrünün sonuna (EoL) ulaşmış olmaları nedeniyle hepsi güvenlik güncellemelerini alamayacak.
Etkilenen model başına önerilen çözüm şudur:
- DSL-N17U, DSL-N55U_C1, DSL-N55U_D1, DSL-N66U: Donanım yazılımı sürümü 1.1.2.3_792 veya üstüne yükseltin.
- DSL-N12U_C1, DSL-N12U_D1, DSL-N14U, DSL-N14U_B1: Donanım yazılımı sürümü 1.1.2.3_807 veya üstüne yükseltin.
- DSL-N16, DSL-AC51, DSL-AC750, DSL-AC52U, DSL-AC55U, DSL-AC56U: Donanım yazılımı sürümü 1.1.2.3_999 veya üstüne yükseltin.
- DSL-N10_C1, DSL-N10_D1, DSL-N10P_C1, DSL-N12E_C1, DSL-N16P, DSL-N16U, DSL-AC52, DSL-AC55: EoL tarihine ulaşıldı, değiştirilmesi önerilir.
Ana güvenlik güncellemelerini indirin
Son olarak ASUS, kullanıcıların torrent, HTTP veya FTP yoluyla dosyaları doğrudan bağlı bir USB depolama cihazına yönetmesine ve indirmesine olanak tanıyan, ASUS yönlendiricilerinde kullanılan bir yardımcı program olan Download Master’a yönelik bir güncellemeyi duyurdu.
Yeni yayımlanan Download Master sürüm 3.1.0.114, rastgele dosya yükleme, işletim sistemi komut ekleme, arabellek taşması, yansıtılan XSS ve depolanan XSS sorunlarıyla ilgili orta ila yüksek önem derecesine sahip beş sorunu ele alıyor.
Bunların hiçbiri CVE-2024-3080 kadar kritik olmasa da, optimum güvenlik ve koruma için kullanıcıların yardımcı programlarını 3.1.0.114 veya sonraki bir sürüme yükseltmeleri önerilir.