Игровым роутерам Asus угрожают сразу три уязвимости - «Новости» » Интернет технологии
sitename
Как вывести или зачислить деньги на Webmoney через телефон? - «Заработок в интернете»
Как вывести или зачислить деньги на Webmoney через телефон? - «Заработок в интернете»
Сравнение краткосрочного и долгосрочного форекс трейдинга - «Заработок в интернете»
Сравнение краткосрочного и долгосрочного форекс трейдинга - «Заработок в интернете»
Как вывести деньги из Webmoney? - «Заработок в интернете»
Как вывести деньги из Webmoney? - «Заработок в интернете»
Оригинальный способ заработать – продавать ветряные генераторы - «Заработок в интернете»
Оригинальный способ заработать – продавать ветряные генераторы - «Заработок в интернете»
В каких регионах России можно хорошо заработать? Или куда поехать на заработки? - «Заработок в интернете»
В каких регионах России можно хорошо заработать? Или куда поехать на заработки? - «Заработок в интернете»
Реклама в «Яндекс.Директе»: как оптимизировать бюджет
Реклама в «Яндекс.Директе»: как оптимизировать бюджет
Учёные обнаружили нетипичную пару звёзд, которая через миллионы лет произведёт килоновую - «Новости сети»
Учёные обнаружили нетипичную пару звёзд, которая через миллионы лет произведёт килоновую - «Новости сети»
Грядущий гигантский сокет Intel LGA 7529 оказался на 70 % больше LGA 4677 — длиной со слот для оперативной памяти - «Новости сети»
Грядущий гигантский сокет Intel LGA 7529 оказался на 70 % больше LGA 4677 — длиной со слот для оперативной памяти - «Новости сети»
Учёные научились укладывать RGB-субпиксели в стопки — получился экран micro-LED с разрешением 5000 ppi - «Новости сети»
Учёные научились укладывать RGB-субпиксели в стопки — получился экран micro-LED с разрешением 5000 ppi - «Новости сети»
Автомойка как бизнес - «Заработок в интернете»
Автомойка как бизнес - «Заработок в интернете»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Игровым роутерам Asus угрожают сразу три уязвимости - «Новости»

По информации Cisco Talos, сразу три критических и серьезных уязвимости затрагивают маршрутизаторы Asus RT-AX82U. Проблемы допускают обход аутентификации и позволяют вызвать сбой в работе девайса.


Эксперты рассказывают, что игровые маршрутизаторы Wi-Fi 6 RT-AX82U можно настроить через HTTP-сервер, работающий в локальной сети, а также устройства поддерживают удаленное управление и мониторинг. И еще в прошлом году специалистам удалось обнаружить уязвимости, которые могут использоваться для обхода аутентификации, утечки информации, а также провоцирования состояния отказа в обслуживании (DoS).


Наиболее серьезной из этих проблем является CVE-2022-35401 (9,0 баллов по шкале оценки уязвимостей CVSS). Баг представляет собой обход аутентификации, который можно эксплуатировать с помощью серии специально подготовленных HTTP-запросов. Злоумышленник может воспользоваться этой уязвимостью, чтобы получить полный административный доступ к уязвимому роутеру.


По словам исследователей, корень проблемы кроется в функции удаленного администрирования маршрутизатора, которая, по сути, позволяет пользователям управлять им так же, как любым другим IoT-устройством. Для этого пользователю нужно разрешить доступ к интернету для HTTPS-сервера, а затем сгенерировать код доступа, который позволит связать маршрутизатор с Amazon Alexa или IFTTT.


Этот токен позволяет удаленному сайту подключиться к эндпойнту на устройстве и проверить, что код действительно был получен в течение 2 минут после создания, а также его соответствие токену в NVRAM роутера. Однако оказалось, что алгоритм генерации токена неустойчив к брутфорс-атакам (поскольку маршрутизатор поддерживает только 255 возможных комбинаций), и проверка времени создания токена работает некорректно, так как основывается на времени работы устройства.


Две другие уязвимости (CVE-2022-38105 и CVE-2022-38393) влияют на на функции, связанные с настройкой mesh-сетей. Первый баг позволяет злоумышленнику отправлять сетевые пакеты, чтобы спровоцировать out-of-bounds ошибки и утечку данных, таких как адреса стека потоков.


Вторая проблема, которую также можно эксплуатировать при помощи сетевых пакетов, связана с некорректной проверкой input-пакетов, что позволяет злоумышленнику спровоцировать underflow-состояние и вызвать сбой системы.


Все три уязвимости были обнаружены еще в августе прошлого года, в прошивке Asus RT-AX82U версии 3.0.0.4.386_49674-ge182230. Теперь пользователям рекомендуется как можно скорее обновить прошивку своих устройств до последней версии, в которой все уязвимости были исправлены.

CSS

Смотрите также


А что там на главной? )))



Комментарии )))



Комментарии для сайта Cackle
Войти через: