ASUS, l’entreprise taïwanaise, a corrigé plusieurs failles de sécurité dans ses modèles de routeurs en publiant des mises à jour du micrologiciel. Neuf failles de sécurité, dont deux sont considérées comme critiques et six comme très graves, doivent être corrigées par les mises à jour. Une vulnérabilité est actuellement en attente d’analyse.

Les modèles concernés sont les suivants : GT6, GT-AXE16000, GT-AX11000 PRO, GT-AXE11000, GT-AX6000, GT-AX11000, GS-AX5400, GS-AX3000, XT9, XT8, XT8 V2, RT-AX86U PRO, RT-AX86U, RT-AX86S, RT-AX82U, RT-AX58U, RT-AX3000, TUF-AX6000, et TUF-AX5400.

Les mises à jour les plus importantes sont CVE-2018-1160 et CVE-2022-26376, qui ont toutes deux reçu un score de gravité de 9,8 sur 10 selon l’échelle CVSS.

CVE-2018-1160 décrit un bug d’écriture inaccessible dans les versions de Netatalk antérieures à 3.1.12. Ce bogue, qui existe depuis près de cinq ans, pourrait permettre à un attaquant distant non authentifié d’exécuter un code arbitraire. CVE-2022-26376 est une vulnérabilité de corruption de mémoire trouvée dans le firmware Asuswrt. Il peut être exploité par le biais d’une requête HTTP spécialement conçue.

Les sept autres défauts sont les suivants :

CVE-2022-35401 (note CVSS : 8.1) : Une faille de contournement de connexion permet à un intrus d’envoyer des requêtes malveillantes via HTTP au système cible et d’obtenir des droits d’administrateur complets.

En utilisant des paquets réseau uniques, les faiblesses de l’exposition aux détails CVE-2022-38105 (CVSS rating : 7.5) permettent d’accéder à des données privées.

CVE-2022-38393, avec une note CVSS de 7.5, une faille de déni de service (DoS) qui peut être exploitée via un paquet réseau qui a été personnalisé.

L’utilisation d’une version antérieure de la bibliothèque libusrsctp pourrait exposer les systèmes sensibles à davantage d’attaques, selon CVE-2022-46871 (CVSS score : 8.8).

Une faiblesse d’entrée de commande et de contrôle connue sous le nom de CVE-2023-28702 (CVSS rating : 8.8) permet à des pirates locaux d’exécuter des instructions système non autorisées, de provoquer des perturbations ou d’arrêter des services.

Un problème de mise en mémoire tampon basé sur la pile, connu sous le nom de CVE-2023-28703 (score CVSS : 7.2), permet à un attaquant disposant de droits d’administration d’exécuter des instructions système non autorisées, de perturber le système ou d’arrêter des fonctions.

CVE-2023-31195 (CVSS 0.0, pas d’évaluation) : une faille qui permet à un attaquant au milieu (AitM) de prendre le contrôle de la session d’un utilisateur.

ASUS recommande vivement à ses clients d’appliquer immédiatement les mises à jour les plus récentes afin de réduire les problèmes de sécurité. Il est conseillé aux utilisateurs d’interrompre les services du côté du réseau étendu afin d’éviter toute activité malveillante.

L’entreprise suggère également aux clients de procéder périodiquement à des audits d’équipement et d’établir des mots de passe distincts pour le réseau sans fil et la page d’administration du routeur.