ASUS ընկերությունը երկուշաբթի օրը թողարկեց որոշ թարմացումներ, որոնք կլուծեն անվտանգության ոլորտի ինը bug-երի հարցը, որոնք զգալիորեն ազդում են router-ի model-ների աշխատանքի վրա:
Ազդեցության ենթարկված ապրանքներն են՝ GT6, GT-AXE16000, GT-AX11000 PRO, GT-AXE11000, GT-AX6000, GT-AX11000, GS-AX5400, GS-AX3000, XT9, XT-AX2, XT9, XT8, PRO -AX86U, RT-AX86S, RT-AX82U, RT-AX58U, RT-AX3000, TUF-AX6000 և TUF-AX5400-ը:
Շտկումների և թարմացումների ցանկը գլխավորում են՝ CVE-2018-1160-ն ու CVE-2022-26376-ը, որոնք երկուսն էլ CVSS գնահատման համակարգում 10-ից գնահատվել են առավելագույնը՝ 9.8 միավորով:
CVE-2018-1160-ը հաքերներին կարող է թույլ տալ remote տարբերակով հասնել կամայական կոդի կատարման:
CVE-2022-26376-ը նկարագրվել է որպես Asuswrt firmware-ում առկա խոցելիություն, որը կարող է գործարկվել հատուկ մշակված HTTP հարցման միջոցով:
Մյուս խոցելիությունները հետևյալն են՝
- CVE-2022-35401 (CVSS միավորը՝ 8.1) – Նույնականացման bypass խոցելիություն, որը հաքերին կարող է թույլ տալ իրականացնել և ուղարկել HTTP հարցումներ՝ սարքին լիարժեք մուտք ունենալու համար:
- CVE-2022-38105 (CVSS միավորը՝ 7.5) – Տեղեկատվության բացահայտման խոցելիություն, որը կարող է օգտագործվել կոնֆիդենցիալ տվյալներին հասնելիություն ստանալու համար:
- CVE-2022-38393 (CVSS միավորը՝ 7.5) – Denial-of-service (DoS) խոցելիություն, որը կարող է հատուկ մշակված ցանցային փաթեթներ ուղարկել:
- CVE-2022-46871 (CVSS միավորը՝ 8.8) – Out-of-date libusrsctp գրադարանի օգտագործում, որը կարող է թիրախավորված սարքերը խոցելի դարձնել հաքերների համար:
- CVE-2023-28702 (CVSS միավորը՝ 8.8) – A command injection խոցելիություն, որը կարող է օգտագործվել հաքերների կողմից՝ համակարգում կամայական հրամաններ կատարելու համար:
- CVE-2023-28703 (CVSS միավորը՝ 7.2) – A stack-based buffer-ի խոցելիություն, որը կարող է շահագործվել ադմինիստրատորի արտոնություններ ունեցող հաքերի կողմից՝ համակարգում կամայական հրամաններ կատարելու, համակարգը խափանելու կամ գործող ծառայությունը դադարեցնելու համար:
- CVE-2023-31195 (CVSS միավորը՝ N/A) – An adversary-in-the-middle (AitM) խոցելիություն, որը կարող է հանգեցնել օգտատիրոջ տվյալների գողացմանը:
ASUS-ի օգտատերերին խորհուրդ է տրվում հնարավորինս արագ կատարել վերջին թարմացումները՝ անվտանգության ռիսկերը կանխելու համար: Որպես լուծում օգտատերերին խորհուրդ է տրվում նաև անջատել WAN-ի կողմից հասանելի ծառայությունները՝ հնարավոր անցանկալի հարձակումներից խուսափելու համար:
Աղբյուրը՝ https://thehackernews.com/
