شرکت تایوانی ایسوس روز دوشنبه بهروزرسانیهای مهمی را منتشر کرد تا علاوه بر سایر مشکلات، 9 باگ امنیتی را که طیف گستردهای از مدلهای روتر را تحت تأثیر قرار میدهند، برطرف کند.
از 9 نقص امنیتی، دو مورد به عنوان بحرانی و شش مورد از نظر شدت درجه بندی شده اند. یک آسیب پذیری در حال حاضر در انتظار تجزیه و تحلیل است.
لیست محصولات آسیب دیده عبارتند از: GT6، GT-AXE16000، GT-AX11000 PRO، GT-AXE11000، GT-AX6000، GT-AX11000، GS-AX5400، GS-AX3000، XT9، VT8، XT8، PRO، XT8، XT8، PRO -AX86U، RT-AX86S، RT-AX82U، RT-AX58U، RT-AX3000، TUF-AX6000، و TUF-AX5400.
در صدر لیست اصلاحات CVE-2018-1160 و CVE-2022-26376 قرار دارند که هر دو در سیستم امتیازدهی CVSS دارای امتیاز 9.8 از حداکثر 10 هستند.
CVE-2018-1160 مربوط به یک اشکال نوشتن خارج از محدوده تقریباً پنج ساله در نسخه های Netatalk قبل از 3.1.12 است که می تواند به یک مهاجم احراز هویت از راه دور اجازه دهد تا به اجرای کد دلخواه دست یابد.
امنیت سایبری
CVE-2022-26376 بهعنوان آسیبپذیری آسیبپذیری حافظه در میانافزار Asuswrt توصیف شده است که میتواند با استفاده از یک درخواست HTTP ساختهشده ویژه فعال شود.
هفت نقص دیگر به شرح زیر است:
CVE-2022-35401 (امتیاز CVSS: 8.1) - یک آسیبپذیری دور زدن احراز هویت که میتواند به مهاجم اجازه دهد درخواستهای مخرب HTTP را برای دسترسی کامل مدیریتی به دستگاه ارسال کند.
CVE-2022-38105 (امتیاز CVSS: 7.5) - یک آسیب پذیری افشای اطلاعات که می تواند برای دسترسی به اطلاعات حساس با ارسال بسته های شبکه ساخته شده ویژه مورد سوء استفاده قرار گیرد.
CVE-2022-38393 (امتیاز CVSS: 7.5) - یک آسیب پذیری انکار سرویس (DoS) که می تواند با ارسال یک بسته شبکه ساخته شده ویژه ایجاد شود.
CVE-2022-46871 (امتیاز CVSS: 8.8) - استفاده از یک کتابخانه قدیمی libusrsctp که می تواند دستگاه های مورد نظر را برای حملات دیگر باز کند.
CVE-2023-28702 (امتیاز CVSS: 8.8) - یک نقص تزریق فرمان که می تواند توسط یک مهاجم محلی برای اجرای دستورات سیستم دلخواه، اختلال در سیستم یا خاتمه سرویس مورد سوء استفاده قرار گیرد.
CVE-2023-28703 (امتیاز CVSS: 7.2) - یک آسیبپذیری سرریز بافر مبتنی بر پشته که میتواند توسط یک مهاجم با امتیازات مدیریت برای اجرای دستورات سیستم دلخواه، اختلال در سیستم یا خاتمه سرویس مورد سوء استفاده قرار گیرد.
CVE-2023-31195 (امتیاز CVSS: N/A) - یک نقص دشمن در وسط (AitM) که می تواند منجر به ربودن جلسه کاربر شود.
ایسوس به کاربران توصیه می کند که آخرین به روز رسانی ها را در اسرع وقت برای کاهش خطرات امنیتی اعمال کنند. به عنوان یک راه حل، به کاربران توصیه می کند که خدمات قابل دسترسی از سمت WAN را غیرفعال کنند تا از نفوذهای ناخواسته احتمالی جلوگیری شود.
از 9 نقص امنیتی، دو مورد به عنوان بحرانی و شش مورد از نظر شدت درجه بندی شده اند. یک آسیب پذیری در حال حاضر در انتظار تجزیه و تحلیل است.
لیست محصولات آسیب دیده عبارتند از: GT6، GT-AXE16000، GT-AX11000 PRO، GT-AXE11000، GT-AX6000، GT-AX11000، GS-AX5400، GS-AX3000، XT9، VT8، XT8، PRO، XT8، XT8، PRO -AX86U، RT-AX86S، RT-AX82U، RT-AX58U، RT-AX3000، TUF-AX6000، و TUF-AX5400.
در صدر لیست اصلاحات CVE-2018-1160 و CVE-2022-26376 قرار دارند که هر دو در سیستم امتیازدهی CVSS دارای امتیاز 9.8 از حداکثر 10 هستند.
CVE-2018-1160 مربوط به یک اشکال نوشتن خارج از محدوده تقریباً پنج ساله در نسخه های Netatalk قبل از 3.1.12 است که می تواند به یک مهاجم احراز هویت از راه دور اجازه دهد تا به اجرای کد دلخواه دست یابد.
امنیت سایبری
CVE-2022-26376 بهعنوان آسیبپذیری آسیبپذیری حافظه در میانافزار Asuswrt توصیف شده است که میتواند با استفاده از یک درخواست HTTP ساختهشده ویژه فعال شود.
هفت نقص دیگر به شرح زیر است:
CVE-2022-35401 (امتیاز CVSS: 8.1) - یک آسیبپذیری دور زدن احراز هویت که میتواند به مهاجم اجازه دهد درخواستهای مخرب HTTP را برای دسترسی کامل مدیریتی به دستگاه ارسال کند.
CVE-2022-38105 (امتیاز CVSS: 7.5) - یک آسیب پذیری افشای اطلاعات که می تواند برای دسترسی به اطلاعات حساس با ارسال بسته های شبکه ساخته شده ویژه مورد سوء استفاده قرار گیرد.
CVE-2022-38393 (امتیاز CVSS: 7.5) - یک آسیب پذیری انکار سرویس (DoS) که می تواند با ارسال یک بسته شبکه ساخته شده ویژه ایجاد شود.
CVE-2022-46871 (امتیاز CVSS: 8.8) - استفاده از یک کتابخانه قدیمی libusrsctp که می تواند دستگاه های مورد نظر را برای حملات دیگر باز کند.
CVE-2023-28702 (امتیاز CVSS: 8.8) - یک نقص تزریق فرمان که می تواند توسط یک مهاجم محلی برای اجرای دستورات سیستم دلخواه، اختلال در سیستم یا خاتمه سرویس مورد سوء استفاده قرار گیرد.
CVE-2023-28703 (امتیاز CVSS: 7.2) - یک آسیبپذیری سرریز بافر مبتنی بر پشته که میتواند توسط یک مهاجم با امتیازات مدیریت برای اجرای دستورات سیستم دلخواه، اختلال در سیستم یا خاتمه سرویس مورد سوء استفاده قرار گیرد.
CVE-2023-31195 (امتیاز CVSS: N/A) - یک نقص دشمن در وسط (AitM) که می تواند منجر به ربودن جلسه کاربر شود.
ایسوس به کاربران توصیه می کند که آخرین به روز رسانی ها را در اسرع وقت برای کاهش خطرات امنیتی اعمال کنند. به عنوان یک راه حل، به کاربران توصیه می کند که خدمات قابل دسترسی از سمت WAN را غیرفعال کنند تا از نفوذهای ناخواسته احتمالی جلوگیری شود.