Tayvanlı ASUS şirketi Pazartesi günü, diğer sorunların yanı sıra çok çeşitli yönlendirici modellerini etkileyen dokuz güvenlik hatasını gidermek için ürün yazılımı güncellemeleri yayınladı.
Dokuz güvenlik açığından ikisi Kritik, altısı ise Yüksek önem derecesine sahiptir. Bir güvenlik açığı şu anda analiz edilmeyi bekliyor.
Etkilenen ürünlerin listesi şu şekildedir: GT6, GT-AXE16000, GT-AX11000 PRO, GT-AXE11000, GT-AX6000, GT-AX11000, GS-AX5400, GS-AX3000, XT9, XT8, XT8 V2, RT-AX86U PRO, RT -AX86U, RT-AX86S, RT-AX82U, RT-AX58U, RT-AX3000, TUF-AX6000 ve TUF-AX5400.
Düzeltme listesinin başında, her ikisi de CVSS puanlama sisteminde maksimum 10 üzerinden 9,8 olarak derecelendirilen CVE-2018-1160 ve CVE-2022-26376 yer almaktadır.
CVE-2018-1160, 3.1.12’den önceki Netatalk sürümlerinde, kimliği doğrulanmamış uzaktan bir saldırganın rasgele kod yürütmesine izin verebilecek, yaklaşık beş yıllık bir sınırların dışında yazma hatasıyla ilgilidir.
CVE-2022-26376, Asuswrt ürün yazılımında özel hazırlanmış bir HTTP isteği aracılığıyla tetiklenebilecek bir bellek bozulması güvenlik açığı olarak tanımlanmıştır.
Diğer yedi kusur aşağıdaki gibidir –
- CVE-2022-35401 (CVSS puanı: 8.1) – Bir saldırganın cihaza tam yönetim erişimi elde etmek için kötü niyetli HTTP istekleri göndermesine izin verebilecek bir kimlik doğrulama atlama güvenlik açığı.
- CVE-2022-38105 (CVSS puanı: 7.5) – Özel hazırlanmış ağ paketleri göndererek hassas bilgilere erişmek için istismar edilebilecek bir bilginin açığa çıkması güvenlik açığı.
- CVE-2022-38393 (CVSS puanı: 7.5) – Özel hazırlanmış bir ağ paketi göndererek tetiklenebilecek bir hizmet reddi (DoS) güvenlik açığı.
- CVE-2022-46871 (CVSS puanı: 8.8) – Hedeflenen cihazları başka saldırılara açabilen güncel olmayan bir libusrsctp kitaplığının kullanılması.
- CVE-2023-28702 (CVSS puanı: 8.8) – Yerel bir saldırgan tarafından keyfi sistem komutlarını yürütmek, sistemi bozmak veya hizmeti sonlandırmak için istismar edilebilecek bir komut enjeksiyon kusuru.
- CVE-2023-28703 (CVSS puanı: 7.2) – Yönetici ayrıcalıklarına sahip bir saldırgan tarafından keyfi sistem komutlarını yürütmek, sistemi bozmak veya hizmeti sonlandırmak için kullanılabilen yığın tabanlı bir arabellek taşması güvenlik açığı.
- CVE-2023-31195 (CVSS puanı: N/A) – Bir kullanıcının oturumunun ele geçirilmesine yol açabilecek bir ortadaki düşman (AitM) kusuru.
ASUS, güvenlik risklerini azaltmak için kullanıcılara en son güncellemeleri mümkün olan en kısa sürede uygulamalarını önermektedir. Geçici bir çözüm olarak, olası istenmeyen izinsiz girişlerden kaçınmak için kullanıcılara WAN tarafından erişilebilen hizmetleri devre dışı bırakmalarını tavsiye ediyor.
“Bu hizmetler arasında WAN’dan uzaktan erişim, port yönlendirme, DDNS, VPN sunucusu, DMZ, [and] bağlantı noktası tetikleyici,” dedi şirket, müşterileri ekipmanlarını periyodik olarak denetlemeye ve ayrıca kablosuz ağ ve yönlendirici yönetim sayfası için ayrı parolalar oluşturmaya çağırdı.