empresa taiwanesa ASUS el lunes actualizaciones de firmware publicadas para abordar, entre otros problemas, nueve errores de seguridad que afectan a una amplia gama de modelos de enrutadores.
De los nueve fallos de seguridad, dos tienen una gravedad crítica y seis tienen una gravedad alta. Una vulnerabilidad está actualmente pendiente de análisis.
La lista de productos afectados son GT6, GT-AXE16000, GT-AX11000 PRO, GT-AXE11000, GT-AX6000, GT-AX11000, GS-AX5400, GS-AX3000, XT9, XT8, XT8 V2, RT-AX86U PRO, RT -AX86U, RT-AX86S, RT-AX82U, RT-AX58U, RT-AX3000, TUF-AX6000 y TUF-AX5400.
Encabezando la lista de correcciones están CVE-2018-1160 y CVE-2022-26376ambos con una puntuación de 9,8 sobre un máximo de 10 en el sistema de puntuación CVSS.
CVE-2018-1160 se refiere a un error de escritura fuera de los límites de casi cinco años en las versiones de Netatalk anteriores a la 3.1.12 que podría permitir que un atacante remoto no autenticado logre la ejecución de código arbitrario.
CVE-2022-26376 se ha descrito como una vulnerabilidad de corrupción de memoria en el firmware de Asuswrt que podría activarse mediante una solicitud HTTP especialmente diseñada.
Los otros siete defectos son los siguientes:
- CVE-2022-35401 (Puntuación CVSS: 8.1): una vulnerabilidad de omisión de autenticación que podría permitir que un atacante envíe solicitudes HTTP maliciosas para obtener acceso administrativo completo al dispositivo.
- CVE-2022-38105 (Puntuación CVSS: 7,5): una vulnerabilidad de divulgación de información que podría explotarse para acceder a información confidencial mediante el envío de paquetes de red especialmente diseñados.
- CVE-2022-38393 (Puntuación CVSS: 7,5): una vulnerabilidad de denegación de servicio (DoS) que podría activarse al enviar un paquete de red especialmente diseñado.
- CVE-2022-46871 (Puntuación CVSS: 8,8) – El uso de una biblioteca libusrsctp desactualizada que podría exponer los dispositivos objetivo a otros ataques.
- CVE-2023-28702 (Puntuación CVSS: 8,8): una falla de inyección de comandos que podría ser aprovechada por un atacante local para ejecutar comandos arbitrarios del sistema, interrumpir el sistema o cancelar el servicio.
- CVE-2023-28703 (Puntuación CVSS: 7.2): una vulnerabilidad de desbordamiento de búfer basada en pila que podría ser aprovechada por un atacante con privilegios de administrador para ejecutar comandos arbitrarios del sistema, interrumpir el sistema o finalizar el servicio.
- CVE-2023-31195 (Puntuación CVSS: N/A): una falla de adversario en el medio (AitM) que podría conducir a un secuestro de la sesión de un usuario.
ASUS recomienda que los usuarios apliquen las últimas actualizaciones lo antes posible para mitigar los riesgos de seguridad. Como solución alternativa, aconseja a los usuarios que deshabiliten los servicios accesibles desde el lado de la WAN para evitar posibles intrusiones no deseadas.
«Estos servicios incluyen acceso remoto desde WAN, reenvío de puertos, DDNS, servidor VPN, DMZ, [and] activador de puerto», dijo la compañía, instando a los clientes a auditar periódicamente su equipo, así como a configurar contraseñas separadas para la red inalámbrica y la página de administración del enrutador.