Уязвимости в маршрутизаторах ASUS, допускающие удалённый доступ

В различных моделях беспроводных маршрутизаторов ASUS выявлено 8 уязвимостей, двум из которых присвоен критический уровень опасности (9.8 из 10). Подробности об эксплуатации проблем пока не приводятся, известно лишь, что первая критическая уязвимость (CVE-2024-3080) позволяет удалённо подключиться к устройству без прохождения аутентификации. Вторая критическая уязвимость (CVE-2024-3912) позволяет неаутентифицированному атакующему загрузить произвольную прошивку, что можно использовать для удалённого выполнения любых cистемных команд на устройстве.

Первая критическая уязвимость затрагивает беспроводные маршрутизаторы ASUS ZenWiFi XT8,
RT-AX57, RT-AC86U, RT-AX58U, RT-AC68U и RT-AX88U, а вторая устройства ASUS DSL-N17U, DSL-N55U_C1, DSL-N55U_D1, DSL-N66U, DSL-N14U, DSL-N14U_B1, DSL-N12U_C1, DSL-N12U_D1, DSL-N16, DSL-AC51, DSL-AC750, DSL-AC52U, DSL-AC55U и DSL-AC56U. Для ещё поддерживаемых уязвимых устройств компания ASUS опубликовала обновление прошивки с устранением выявленных проблем.

Из выявленных в устройствах ASUS уязвимостей, помеченных как опасные, также можно отметить переполнения буфера (CVE-2024-3079, CVE-2024-31163) и ошибки проверки входных данных в ASUS Download Master (CVE-2024-31161, CVE-2024-31162), позволяющие атакующему, имеющему доступ к устройству, добиться выполнения системных команд.

Источник: opennet.ru