Het Taiwanese bedrijf ASUS heeft meerdere beveiligingslekken in zijn routermodellen aangepakt door firmware-updates uit te brengen. Negen beveiligingslekken, waarvan er twee als kritiek zijn beoordeeld en zes als zeer ernstig, moeten door de upgrades worden verholpen. Er is één kwetsbaarheid die nog geanalyseerd moet worden.

De getroffen modellen zijn GT6, GT-AXE16000, GT-AX11000 PRO, GT-AXE11000, GT-AX6000, GT-AX11000, GS-AX5400, GS-AX3000, XT9, XT8, XT8 V2, RT-AX86U PRO, RT-AX86U, RT-AX86S, RT-AX82U, RT-AX58U, RT-AX3000, TUF-AX6000 en TUF-AX5400.

De meest prominente updates zijn CVE-2018-1160 en CVE-2022-26376, die beide een score voor ernst van 9,8 uit 10 kregen volgens de CVSS-schaal.

CVE-2018-1160 beschrijft een ontoegankelijke schrijfbug in Netatalk-versies voorafgaand aan 3.1.12. Deze bug, die al bijna vijf jaar bestaat, kan een niet-geauthenticeerde aanvaller op afstand activeren om willekeurige code uit te voeren. CVE-2022-26376 is een kwetsbaarheid voor geheugencorruptie in de Asuswrt-firmware. Het kan worden misbruikt via een speciaal ontworpen HTTP-verzoek.

De overige zeven gebreken zijn als volgt:

CVE-2022-35401 (CVSS-rating: 8.1): Door een fout bij het omzeilen van aanmeldingen kan een indringer via HTTP schadelijke vragen naar het doelsysteem sturen en volledige beheerdersrechten krijgen.

Door gebruik te maken van unieke netwerkpakketten kunnen zwakke plekken in de details, CVE-2022-38105 (CVSS-rating: 7,5), toegang geven tot privégegevens.

CVE-2022-38393, met een CVSS-rating van 7,5 een DoS-fout (Denial-of-Service) die kan worden misbruikt via een aangepast netwerkpakket.

Het gebruik van een eerdere versie van de libusrsctp-bibliotheek kan gevoelige systemen blootstellen aan meer aanvallen, volgens CVE-2022-46871 (CVSS-score: 8,8).

Een zwakke plek in de invoer van commando’s en controles, bekend als CVE-2023-28702 (CVSS-rating: 8,8), stelt lokale hackers in staat om ongeautoriseerde systeeminstructies uit te voeren, verstoringen te veroorzaken of services te stoppen.

Een stack-gebaseerd bufferingprobleem bekend als CVE-2023-28703 (CVSS-score: 7.2) stelt een aanvaller met beheerdersrechten in staat om ongeautoriseerde systeeminstructies uit te voeren, het systeem te verstoren of functies te stoppen.

CVE-2023-31195 (CVSS 0.0, geen beoordeling): een gat waardoor een aanvaller-in-the-middle (AitM) de sessie van een gebruiker kan overnemen.

ASUS dringt er bij klanten op aan om onmiddellijk de meest recente updates toe te passen om de beveiligingsproblemen te verminderen. Gebruikers wordt geadviseerd om services aan de WAN-kant te onderbreken om mogelijke kwaadwillige activiteiten te voorkomen.

Het bedrijf raadt klanten ook aan om regelmatig apparatuurcontroles uit te voeren en aparte wachtwoorden in te stellen voor het draadloze netwerk en de beheerpagina van de router.