Üç eleştirel-şiddetli uzaktan kumanda yürütme güvenlik açıkları, ASUS RT-AX55, RT-AX56U_V2 ve RT-AC86U yönlendiricilerini etkiler, bu da tehdit aktörlerinin güvenlik güncellemeleri yüklenmezse potansiyel olarak cihazları kaçırmasına izin verir.
Bu üç WiFi yönlendiricisi, şu anda ASUS web sitesinde bulunan ve talepkar performans ihtiyaçları olan kullanıcılar tarafından tercih edilen, tüketici ağ pazarında popüler üst düzey modellerdir.
Hepsi 10.0 üzerinden CVSS V3.1 puanına sahip olan kusurlar, uzaktan ve kimlik doğrulaması olmadan sömürülebilen, potansiyel olarak uzaktan kod yürütülmesine, hizmet kesintilerine ve cihazda keyfi operasyonlar gerçekleştirebilen format dize güvenlik açıklarıdır.
Biçim Dize Kusurları, belirli işlevlerin biçiminde dize parametreleri içinde uygunsuz ve/veya tasarlanmamış kullanıcı girişinden kaynaklanan güvenlik sorunlarıdır. Bilgi açıklaması ve kod yürütme dahil olmak üzere çeşitli sorunlara yol açabilirler.
Saldırganlar, savunmasız cihazlara gönderilen özel olarak hazırlanmış girişi kullanarak bu kusurları kullanıyor. ASUS yönlendiricileri söz konusu olduğunda, cihazlardaki belirli idari API işlevlerini hedefleyeceklerdir.
Tayvanlı sertifika tarafından bugün daha önce açıklanan üç güvenlik açığı şunlardır:
Yukarıdaki sorunlar, ürün yazılımı sürümlerinde ASUS RT-AX55, RT-AX56U_V2 ve RT-AC86U'yu etkiler.
Önerilen çözüm aşağıdaki ürün yazılımı güncellemelerini uygulamaktır:
ASUS, Ağustos 2023'ün başlarında RT-AX55 için üç kusura, Mayıs 2023'te AX56U_V2 için ve Temmuz 2023'te RT-AC86U için üç kusurlara hitap eden yamalar yayınladı.
O zamandan beri güvenlik güncellemeleri uygulamayan kullanıcılar, cihazlarının saldırılara karşı savunmasız olduğunu düşünmeli ve eylemi mümkün olan en kısa sürede önceliklendirmelidir.
Ayrıca, birçok tüketici yönlendirici kusuru Web yönetici konsolunu hedeflediğinden, İnternet'ten erişimi önlemek için Uzaktan Yönetim (WAN Web Erişim) özelliğini kapatmanız şiddetle tavsiye edilir.
Winrar Flaw, RAR arşivlerini açtığınızda bilgisayar korsanlarının programları çalıştırmasına izin verir
Ivanti Çavuş Kritik Pre-auth yığın tampon taşmalarından etkilenen
Yeni Papercut Critical Hata
Bilgisayar korsanları, Minecraft sunucularını hedeflemek için Bleedingpipe RCE'yi sömürüyor, oyuncular
Popüler Ghostscript açık kaynaklı PDF kütüphanesinde bulunan eleştirel RCE
Kaynak: Bleeping Computer