Das taiwanesische Unternehmen ASUS hat mehrere Sicherheitslücken in seinen Router-Modellen durch die Veröffentlichung von Firmware-Updates geschlossen. Neun Sicherheitslücken, von denen zwei als kritisch und sechs als hoch eingestuft werden, sollen durch die Upgrades behoben werden. Es gibt eine Schwachstelle, die derzeit noch analysiert wird.

Zu den betroffenen Modellen gehören GT6, GT-AXE16000, GT-AX11000 PRO, GT-AXE11000, GT-AX6000, GT-AX11000, GS-AX5400, GS-AX3000, XT9, XT8, XT8 V2, RT-AX86U PRO, RT-AX86U, RT-AX86S, RT-AX82U, RT-AX58U, RT-AX3000, TUF-AX6000 und TUF-AX5400.

Die bekanntesten Updates sind CVE-2018-1160 und CVE-2022-26376, die beide nach der CVSS-Skala einen Schweregrad von 9,8 von 10 erhalten haben.

CVE-2018-1160 beschreibt einen unzugänglichen Schreibfehler in Netatalk-Versionen vor 3.1.12. Dieser Fehler, der seit fast fünf Jahren besteht, könnte einen nicht authentifizierten, entfernten Angreifer dazu bringen, beliebigen Code auszuführen. CVE-2022-26376 ist eine Sicherheitslücke im Speicher, die in der Asuswrt-Firmware gefunden wurde. Sie kann durch eine speziell gestaltete HTTP-Anfrage ausgenutzt werden.

Die übrigen sieben Mängel sind wie folgt:

CVE-2022-35401 (CVSS-Bewertung: 8.1): Ein Fehler bei der Umgehung der Anmeldung ermöglicht es einem Angreifer, schändliche Anfragen über HTTP an das Zielsystem zu senden und vollständige Administratorrechte zu erhalten.

Die Schwachstelle CVE-2022-38105 (CVSS-Rating: 7.5) ermöglicht über eindeutige Netzwerkpakete den Zugriff auf private Daten.

CVE-2022-38393, mit einem CVSS-Rating von 7.5 eine Denial-of-Service (DoS)-Schwachstelle, die über ein angepasstes Netzwerk-Paket ausgenutzt werden kann.

Die Verwendung einer früheren Version der libusrsctp-Bibliothek könnte anfällige Systeme für weitere Angriffe anfällig machen, so CVE-2022-46871 (CVSS-Score: 8.8).

Eine Schwachstelle bei der Befehls- und Steuerungseingabe, bekannt als CVE-2023-28702 (CVSS-Bewertung: 8.8), ermöglicht es lokalen Hackern, nicht autorisierte Systembefehle auszuführen, Störungen zu verursachen oder Dienste anzuhalten.

Ein stapelbasiertes Pufferungsproblem mit der Bezeichnung CVE-2023-28703 (CVSS-Score: 7.2) ermöglicht es einem Angreifer mit administrativen Rechten, nicht autorisierte Systembefehle auszuführen, das System zu stören oder Funktionen zu stoppen.

CVE-2023-31195 (CVSS 0.0, keine Bewertung): eine Lücke, die es einem Angreifer in der Mitte (AitM) ermöglicht, die Sitzung eines Benutzers zu übernehmen.

ASUS empfiehlt seinen Kunden dringend, sofort die neuesten Updates zu installieren, um Sicherheitsbedenken zu vermeiden. Den Benutzern wird empfohlen, die Dienste auf der WAN-Seite einzustellen, um mögliche bösartige Aktivitäten zu vermeiden.

Das Unternehmen empfiehlt seinen Kunden außerdem, regelmäßig Geräteprüfungen durchzuführen und separate Passwörter für das drahtlose Netzwerk und die Router-Verwaltungsseite einzurichten.