CVE-2024-3080: сразу 7 роутеров ASUS перешли под контроль злоумышленников

Компания ASUS выпустила обновление прошивки, устраняющее уязвимость, которая затрагивает сразу семь моделей маршрутизаторов и позволяет удалённым злоумышленникам получить доступ к устройствам.

Критическая уязвимость, зарегистрированная как CVE-2024-3080 (оценка CVSS v3.1: 9.8) позволяет неавторизованным удалённым пользователям обходить аутентификацию и захватывать контроль над устройством.

Уязвимость затрагивает следующие модели маршрутизаторов ASUS:

1. XT8 (ZenWiFi AX XT8) — трёхдиапазонная Wi-Fi 6 система со скоростью до 6600 Мбит/с, поддержка AiMesh, AiProtection Pro, бесшовный роуминг и родительский контроль.
2. XT8_V2 (ZenWiFi AX XT8 V2) — обновлённая версия XT8 с улучшенной производительностью и стабильностью.
3. RT-AX88U — двухдиапазонный WiFi 6 маршрутизатор со скоростью до 6000 Мбит/с, 8 LAN портами, AiProtection Pro и адаптивным QoS для игр и потокового вещания.
4. RT-AX58U — двухдиапазонный WiFi 6 маршрутизатор со скоростью до 3000 Мбит/с, поддержка AiMesh, AiProtection Pro и MU-MIMO для эффективного многопользовательского соединения.
5. RT-AX57 — двухдиапазонный WiFi 6 маршрутизатор для базовых нужд со скоростью до 3000 Мбит/с, поддержка AiMesh и базовый родительский контроль.
6. RT-AC86U — двухдиапазонный WiFi 5 маршрутизатор со скоростью до 2900 Мбит/с, AiProtection, адаптивный QoS и ускорение игр.
7. RT-AC68U — двухдиапазонный WiFi 5 маршрутизатор со скоростью до 1900 Мбит/с, поддержка AiMesh, AiProtection и мощный родительский контроль.

ASUS рекомендует обновить прошивку вышеперечисленных маршрутизаторов до последней версии, доступной на портале загрузок компании. Инструкции по обновлению прошивки можно найти на странице FAQ.

Для тех, кто не может обновить прошивку немедленно, рекомендуется использовать надёжные пароли как для учётных записей, так и для самих Wi-Fi сетей — длиной более 10 символов. Также компания советует отключить доступ к административной панели через Интернет, удалённый доступ с WAN, переадресацию портов, DDNS, VPN сервер, DMZ и переключатель портов.

В том же пакете обновлений устранена уязвимость CVE-2024-3079, представляющая собой переполнение буфера (CVSS v3.1: 7.2), для эксплуатации которой требуется административный доступ.

Кроме того, CERT Тайваня сообщил об уязвимости CVE-2024-3912 (CVSS v3.1: 9.8), которая позволяет неавторизованным удалённым пользователям выполнять системные команды на устройстве. Эта уязвимость затрагивает множество моделей маршрутизаторов ASUS, но не все из них получат обновления безопасности из-за окончания срока поддержки.

Ниже перечислены решения по уязвимости CVE-2024-3912 для конкретных моделей маршрутизаторов:

• DSL-N17U, DSL-N55U_C1, DSL-N55U_D1, DSL-N66U. Обновление прошивки до версии 1.1.2.3_792 или выше.
• DSL-N12U_C1, DSL-N12U_D1, DSL-N14U, DSL-N14U_B1. Обновление прошивки до версии 1.1.2.3_807 или выше.
• DSL-N16, DSL-AC51, DSL-AC750, DSL-AC52U, DSL-AC55U, DSL-AC56U. Обновление прошивки до версии 1.1.2.3_999 или выше.
• DSL-N10_C1, DSL-N10_D1, DSL-N10P_C1, DSL-N12E_C1, DSL-N16P, DSL-N16U, DSL-AC52, DSL-AC55. Устройства больше не будут получать обновления, рекомендуется их физическая замена современным аналогом.

ASUS также выпустила обновление для фирменной утилиты Download Master, используемой для управления и загрузки файлов напрямую на подключённое к маршрутизатору USB-устройство через торренты, HTTP или FTP.

Новая версия Download Master 3.1.0.114 устраняет пять уязвимостей средней и высокой степени опасности, связанных с произвольной загрузкой файлов, внедрением команд ОС, переполнением буфера, отражённым и сохранённым XSS.

Хотя эти уязвимости не столь критичны, как CVE-2024-3080, пользователям рекомендуется обновить утилиту до версии 3.1.0.114 или выше для оптимальной безопасности.