ASUS, yönlendiricilerini etkileyen ve kötü niyetli kişiler tarafından kimlik doğrulamayı atlatmak için kullanılabilecek kritik bir güvenlik açığını gidermek için yazılım güncellemeleri yayınladı.
CVE-2024-3080 olarak takip edilen güvenlik açığı, maksimum 10,0 üzerinden 9,8 CVSS puanına sahip.
Tayvan Bilgisayar Acil Durum Müdahale Ekibi/Koordinasyon Merkezi (TWCERT/CC) tarafından paylaşılan kusurun açıklamasına göre, “Bazı ASUS yönlendirici modellerinde, kimliği doğrulanmamış uzak saldırganların cihazda oturum açmasına olanak tanıyan kimlik doğrulama atlama güvenlik açığı bulunmaktadır.”
Tayvanlı şirket ayrıca, CVE-2024-3079 (CVSS puanı: 7.2) olarak takip edilen ve yönetici ayrıcalıklarına sahip uzak saldırganlar tarafından cihazda rastgele komutlar yürütmek üzere silah haline getirilebilecek yüksek önemdeki bir arabellek taşması kusurunu da yamaladı.
Varsayımsal bir saldırı senaryosunda, kötü bir aktör, kimlik doğrulamayı atlatmak ve duyarlı cihazlarda kötü amaçlı kod yürütmek için CVE-2024-3080 ve CVE-2024-3079’u bir yararlanma zincirine dönüştürebilir.
Her iki eksiklik de aşağıdaki ürünleri etkilemektedir:
- ZenWiFi XT8 sürüm 3.0.0.4.388_24609 ve öncesi (3.0.0.4.388_24621’de düzeltildi)
- ZenWiFi XT8 sürüm V2 3.0.0.4.388_24609 ve öncesi (3.0.0.4.388_24621’de düzeltildi)
- RT-AX88U sürümü 3.0.0.4.388_24198 ve öncesi (3.0.0.4.388_24209’da düzeltildi)
- RT-AX58U sürüm 3.0.0.4.388_23925 ve öncesi (3.0.0.4.388_24762’de düzeltildi)
- RT-AX57 sürümü 3.0.0.4.386_52294 ve öncesi (3.0.0.4.386_52303’te düzeltildi)
- RT-AC86U sürüm 3.0.0.4.386_51915 ve öncesi (3.0.0.4.386_51925’te düzeltildi)
- RT-AC68U sürüm 3.0.0.4.386_51668 ve öncesi (3.0.0.4.386_51685’te düzeltildi)
Bu Ocak ayının başlarında ASUS, (CVE-2024-3912, CVSS puanı: 9.8) olarak takip edilen ve kimliği doğrulanmamış uzaktaki bir saldırganın cihaza rastgele dosyalar yüklemesine ve sistem komutlarını yürütmesine izin verebilecek başka bir kritik güvenlik açığını yamaladı.
Etkilenen yönlendiricilerin kullanıcılarının, olası tehditlere karşı güvenlik sağlamak için en son sürüme güncelleme yapmaları önerilir.