Lundi, la société taïwanaise ASUS mises à jour du firmware publiées pour résoudre, entre autres problèmes, neuf bogues de sécurité affectant un large éventail de modèles de routeurs.
Sur les neuf failles de sécurité, deux sont classées critiques et six sont classées en gravité élevée. Une vulnérabilité est actuellement en attente d’analyse.
La liste des produits concernés est GT6, GT-AXE16000, GT-AX11000 PRO, GT-AXE11000, GT-AX6000, GT-AX11000, GS-AX5400, GS-AX3000, XT9, XT8, XT8 V2, RT-AX86U PRO, RT -AX86U, RT-AX86S, RT-AX82U, RT-AX58U, RT-AX3000, TUF-AX6000 et TUF-AX5400.
En tête de liste des correctifs sont CVE-2018-1160 et CVE-2022-26376qui sont tous deux notés 9,8 sur un maximum de 10 sur le système de notation CVSS.
CVE-2018-1160 concerne un bogue d’écriture hors limites vieux de près de cinq ans dans les versions de Netatalk antérieures à 3.1.12 qui pourrait permettre à un attaquant distant non authentifié d’exécuter du code arbitraire.
CVE-2022-26376 a été décrit comme une vulnérabilité de corruption de mémoire dans le micrologiciel Asuswrt qui pourrait être déclenchée au moyen d’une requête HTTP spécialement conçue.
Les sept autres défauts sont les suivants –
- CVE-2022-35401 (Score CVSS : 8,1) – Une vulnérabilité de contournement d’authentification qui pourrait permettre à un attaquant d’envoyer des requêtes HTTP malveillantes pour obtenir un accès administratif complet à l’appareil.
- CVE-2022-38105 (Score CVSS : 7,5) – Une vulnérabilité de divulgation d’informations qui pourrait être exploitée pour accéder à des informations sensibles en envoyant des paquets réseau spécialement conçus.
- CVE-2022-38393 (Score CVSS : 7,5) – Une vulnérabilité de déni de service (DoS) qui pourrait être déclenchée par l’envoi d’un paquet réseau spécialement conçu.
- CVE-2022-46871 (Score CVSS : 8,8) – L’utilisation d’une bibliothèque libusrsctp obsolète qui pourrait ouvrir les appareils ciblés à d’autres attaques.
- CVE-2023-28702 (Score CVSS : 8,8) – Une faille d’injection de commande qui pourrait être exploitée par un attaquant local pour exécuter des commandes système arbitraires, perturber le système ou mettre fin au service.
- CVE-2023-28703 (Score CVSS : 7,2) – Une vulnérabilité de dépassement de mémoire tampon basée sur la pile qui pourrait être exploitée par un attaquant avec des privilèges d’administrateur pour exécuter des commandes système arbitraires, perturber le système ou mettre fin au service.
- CVE-2023-31195 (Score CVSS : N/A) – Une faille AitM (Adversary-in-the-middle) qui pourrait conduire à un détournement de la session d’un utilisateur.
ASUS recommande aux utilisateurs d’appliquer les dernières mises à jour dès que possible pour atténuer les risques de sécurité. En guise de solution de contournement, il conseille aux utilisateurs de désactiver les services accessibles du côté WAN pour éviter les intrusions indésirables potentielles.
« Ces services incluent l’accès à distance depuis le WAN, la redirection de port, le DDNS, le serveur VPN, la DMZ, [and] déclencheur de port », a déclaré la société, exhortant les clients à auditer périodiquement leur équipement et à configurer des mots de passe distincts pour le réseau sans fil et la page d’administration du routeur.