Игровым роутерам Asus угрожают сразу три уязвимости - «Новости» » Интернет технологии
sitename
Эксперты сомневаются, что Claude Code мог использоваться для автоматизированных атак - «Новости»
Эксперты сомневаются, что Claude Code мог использоваться для автоматизированных атак - «Новости»
 Уязвимость в Fortinet FortiWeb использовалась для создания новых администраторов - «Новости»
Уязвимость в Fortinet FortiWeb использовалась для создания новых администраторов - «Новости»
 Google позволит опытным пользователям устанавливать приложения из сторонних источников - «Новости»
Google позволит опытным пользователям устанавливать приложения из сторонних источников - «Новости»
 Компания Keenetic принудительно обновляет роутеры пользователей из-за уязвимости - «Новости»
Компания Keenetic принудительно обновляет роутеры пользователей из-за уязвимости - «Новости»
 Azure подвергся DDoS-атаке мощностью 15 Тбит/с, исходившей от 500 000 IP-адресов - «Новости»
Azure подвергся DDoS-атаке мощностью 15 Тбит/с, исходившей от 500 000 IP-адресов - «Новости»
 Intel Core Ultra 290K, 270K и 250K получат увеличенные частоты, больше E-ядер и поддержку DDR5-7200 - «Новости сети»
Intel Core Ultra 290K, 270K и 250K получат увеличенные частоты, больше E-ядер и поддержку DDR5-7200 - «Новости сети»
 Первое платное обновление безопасности для Windows 10 принесло в старую ОС новые ошибки - «Новости сети»
Первое платное обновление безопасности для Windows 10 принесло в старую ОС новые ошибки - «Новости сети»
 Microsoft увидела негативную реакцию пользователей на пост о будущем Windows 11 - «Новости сети»
Microsoft увидела негативную реакцию пользователей на пост о будущем Windows 11 - «Новости сети»
 В «Ростелекоме» заявили, что вчерашние сбои в работе интернета были вызваны вмешательством третьих лиц - «Новости сети»
В «Ростелекоме» заявили, что вчерашние сбои в работе интернета были вызваны вмешательством третьих лиц - «Новости сети»
 Игровой движок Unreal Engine 6 выпустят значительно раньше ожидаемого - «Новости сети»
Игровой движок Unreal Engine 6 выпустят значительно раньше ожидаемого - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Игровым роутерам Asus угрожают сразу три уязвимости - «Новости»

✔Игровым роутерам Asus угрожают сразу три уязвимости - «Новости»

15 января 2023 830 Новости / Преимущества стилей / Изображения / Добавления стилей / Вёрстка / Сайтостроение / Интернет и связь 0

По информации Cisco Talos, сразу три критических и серьезных уязвимости затрагивают маршрутизаторы Asus RT-AX82U. Проблемы допускают обход аутентификации и позволяют вызвать сбой в работе девайса.


Эксперты рассказывают, что игровые маршрутизаторы Wi-Fi 6 RT-AX82U можно настроить через HTTP-сервер, работающий в локальной сети, а также устройства поддерживают удаленное управление и мониторинг. И еще в прошлом году специалистам удалось обнаружить уязвимости, которые могут использоваться для обхода аутентификации, утечки информации, а также провоцирования состояния отказа в обслуживании (DoS).


Наиболее серьезной из этих проблем является CVE-2022-35401 (9,0 баллов по шкале оценки уязвимостей CVSS). Баг представляет собой обход аутентификации, который можно эксплуатировать с помощью серии специально подготовленных HTTP-запросов. Злоумышленник может воспользоваться этой уязвимостью, чтобы получить полный административный доступ к уязвимому роутеру.


По словам исследователей, корень проблемы кроется в функции удаленного администрирования маршрутизатора, которая, по сути, позволяет пользователям управлять им так же, как любым другим IoT-устройством. Для этого пользователю нужно разрешить доступ к интернету для HTTPS-сервера, а затем сгенерировать код доступа, который позволит связать маршрутизатор с Amazon Alexa или IFTTT.


Этот токен позволяет удаленному сайту подключиться к эндпойнту на устройстве и проверить, что код действительно был получен в течение 2 минут после создания, а также его соответствие токену в NVRAM роутера. Однако оказалось, что алгоритм генерации токена неустойчив к брутфорс-атакам (поскольку маршрутизатор поддерживает только 255 возможных комбинаций), и проверка времени создания токена работает некорректно, так как основывается на времени работы устройства.


Две другие уязвимости (CVE-2022-38105 и CVE-2022-38393) влияют на на функции, связанные с настройкой mesh-сетей. Первый баг позволяет злоумышленнику отправлять сетевые пакеты, чтобы спровоцировать out-of-bounds ошибки и утечку данных, таких как адреса стека потоков.


Вторая проблема, которую также можно эксплуатировать при помощи сетевых пакетов, связана с некорректной проверкой input-пакетов, что позволяет злоумышленнику спровоцировать underflow-состояние и вызвать сбой системы.


Все три уязвимости были обнаружены еще в августе прошлого года, в прошивке Asus RT-AX82U версии 3.0.0.4.386_49674-ge182230. Теперь пользователям рекомендуется как можно скорее обновить прошивку своих устройств до последней версии, в которой все уязвимости были исправлены.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

По информации Cisco Talos, сразу три критических и серьезных уязвимости затрагивают маршрутизаторы Asus RT-AX82U. Проблемы допускают обход аутентификации и позволяют вызвать сбой в работе девайса. Эксперты рассказывают, что игровые маршрутизаторы Wi-Fi 6 RT-AX82U можно настроить через HTTP-сервер, работающий в локальной сети, а также устройства поддерживают удаленное управление и мониторинг. И еще в прошлом году специалистам удалось обнаружить уязвимости, которые могут использоваться для обхода аутентификации, утечки информации, а также провоцирования состояния отказа в обслуживании (DoS). Наиболее серьезной из этих проблем является CVE-2022-35401 (9,0 баллов по шкале оценки уязвимостей CVSS). Баг представляет собой обход аутентификации, который можно эксплуатировать с помощью серии специально подготовленных HTTP-запросов. Злоумышленник может воспользоваться этой уязвимостью, чтобы получить полный административный доступ к уязвимому роутеру. По словам исследователей, корень проблемы кроется в функции удаленного администрирования маршрутизатора, которая, по сути, позволяет пользователям управлять им так же, как любым другим IoT-устройством. Для этого пользователю нужно разрешить доступ к интернету для HTTPS-сервера, а затем сгенерировать код доступа, который позволит связать маршрутизатор с Amazon Alexa или IFTTT. Этот токен позволяет удаленному сайту подключиться к эндпойнту на устройстве и проверить, что код действительно был получен в течение 2 минут после создания, а также его соответствие токену в NVRAM роутера. Однако оказалось, что алгоритм генерации токена неустойчив к брутфорс-атакам (поскольку маршрутизатор поддерживает только 255 возможных комбинаций), и проверка времени создания токена работает некорректно, так как основывается на времени работы устройства. Две другие уязвимости (CVE-2022-38105 и CVE-2022-38393) влияют на на функции, связанные с настройкой mesh-сетей. Первый баг позволяет злоумышленнику отправлять сетевые пакеты, чтобы спровоцировать out-of-bounds ошибки и утечку данных, таких как адреса стека потоков. Вторая проблема, которую также можно эксплуатировать при помощи сетевых пакетов, связана с некорректной проверкой input-пакетов, что позволяет злоумышленнику спровоцировать underflow-состояние и вызвать сбой системы. Все три уязвимости были обнаружены еще в августе прошлого года, в прошивке Asus RT-AX82U версии 3.0.0.4.386_49674-ge182230. Теперь пользователям рекомендуется как можно скорее обновить прошивку своих устройств до последней версии, в которой все уязвимости были исправлены.
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: