ASUS corrigiu bug crítico remoto de desvio de autenticação em roteadores
A gigante fabricante taiwanesa ASUS resolveu uma vulnerabilidade crítica de desvio de autenticação remota que afetava vários modelos de roteadores.
A ASUS aborda uma vulnerabilidade crítica de desvio de autenticação remota, rastreada como CVE-2024-3080 (pontuação CVSS v3.1: 9,8), afetando sete modelos de roteadores.
A falha é um problema de desvio de autenticação que um invasor remoto pode explorar para efetuar login no dispositivo sem autenticação.
A falha afeta os seguintes modelos:
- ZenWiFi XT8 3.0.0.4.388_24609 (inclusive) versões anteriores
- ZenWiFi Versão RT-AX57 3.0.0.4.386_52294 (inclusive) versão anterior
- ZenWiFi Versão RT-AC86U 3.0.0.4.386_51915 (inclusive) versão anterior
- ZenWiFi Versão RT-AC68U 3.0.0.4.386_51668 (inclusive) versão anterior
A empresa lançou a seguinte atualização de firmware para resolver o problema:
- Atualize ZenWiFi XT8 para 3.0.0.4.388_24621 (inclusive) e versões posteriores
- Atualize o ZenWiFi XT8 V2 para 3.0.0.4.388_24621 (inclusive) e versões posteriores
- Atualize RT-AX88U para 3.0.0.4.388_24209 (inclusive) e versões posteriores
- Atualize RT-AX58U para 3.0 .0.4.388_24762 (inclusive) e versões posteriores
- atualize RT-AX57 para 3.0.0.4.386_52303 (inclusive) e versões posteriores
- atualize RT-AC86U para 3.0.0.4.386_51925 (inclusive) e versões posteriores
- atualizar RT-AC68U para 3.0.0.4.386_51685 ((incluindo) versões posteriores
O fornecedor também abordou uma falha crítica de firmware arbitrário de upload, rastreada como CVE-2024-3912 (pontuação CVSS 9,8) impactando vários dispositivos. Um invasor remoto não autenticado pode explorar a falha para executar comandos do sistema no dispositivo vulnerável.
Carlos Köpke da PLASMALABS descobriu a falha. Os produtos impactados são: DSL-N17U, DSL-N55U_C1, DSL-N55U_D1, DSL-N66U, DSL-N14U, DSL-N14U_B1, DSL-N12U_C1, DSL-N12U_D1, DSL-N16, DSL-AC51, DSL-AC750, DSL- AC52U, DSL-AC55U, DSL-AC56U.
Alguns modelos afetados não receberão as atualizações de firmware porque atingiram o fim de sua vida útil (EoL).
As seguintes versões corrigem a falha:
- Atualize os seguintes modelos para 1.1.2.3_792 (inclusive) e versões posteriores:
DSL-N17U, DSL-N55U_C1, DSL-N55U_D1, DSL-N66U - Atualize os seguintes modelos para 1.1.2.3_807 (inclusive) e versões posteriores:
DSL-N12U_C1, DSL -N12U_D1, DSL-N14U, DSL-N14U_B1 - Atualize os seguintes modelos para 1.1.2.3_999 (inclusive) e versões posteriores:
DSL-N16, DSL-AC51, DSL-AC750, DSL-AC52U, DSL-AC55U, DSL-AC56U - e seguintes modelos Não são mais mantidos, recomenda-se substituir
DSL-N10_C1, DSL-N10_D1, DSL-N10P_C1, DSL-N12E_C1, ,DSL-N16P, DSL-N16U, DSL-AC52, DSL-AC55.
Caso não possa ser substituído em curto prazo, é recomendável fechá-lo. Acesso remoto (acesso Web a partir de WAN), servidor virtual (encaminhamento de porta), DDNS, servidor VPN, DMZ, disparo de porta