وصله نقص دور زدن احراز هویت بحرانی در مدل های چند روتر توسط ASUS - آپا
وصله نقص دور زدن احراز هویت بحرانی در مدل های چند روتر توسط ASUS
- 19 Jun 2024
- News Code: 2207392
- 1930
ایسوس به منظور رفع نقص امنیتی بحرانی موثر بر روترهای خود، بهروزرسانیهای نرمافزاری را ارسال کرده است . نقص های مذکور میتوانستند توسط عوامل مخرب برای دور زدن احراز هویت مورد بهره برداری قرار گیرند.
این آسیبپذیری با شناسه CVE-2024-3080 از امتیاز حداکثری 10، امتیاز CVSS 9.8 را دریافت کرده است.
با توجه به توضیحات ارائه شده در خصوص نقص به اشتراک گذاشته شده توسط تیم واکنش اضطراری کامپیوتری تایوان / مرکز هماهنگی (TWCERT/CC) "برخی مدل های روتر ایسوس دارای آسیب پذیری دور زدن احراز هویت می باشند که به مهاجمان احراز هویت نشده از راه دور این امکان را می دهند تا وارد دستگاه شوند."
همچنین یک نقص سرریز بافر با شدت بالا با شناسه CVE-2024-3079 (امتیاز CVSS: 7.2) که میتوانست توسط مهاجمان از راه دور با دسترسی های اداری برای اجرای دستورات دلخواه بر روی دستگاه مورد بهره برداری قرار گیرد، توسط شرکت تایوانی وصله شد.
در یک سناریوی حمله فرضی، یک بدخواه میتوانست از آسیب پذیری های CVE-2024-3080 و CVE-2024-3079 بهره برداری کرده، از احراز هویت عبور کند و کدهای مخرب را روی دستگاههای حساس اجرا نماید.
نقص های مذکور بر محصولات زیر تأثیر می گذارند:
- نسخه 24609-3.0.0.4.388 ZenWiFi XT8و قبل از آن (در 24621-3.0.0.4.388 رفع شد)
- نسخه V2 3.0.0.4.388_24609 ZenWiFi XT8 و قبل از آن (در 24621-3.0.0.4.388 رفع شد)
- نسخه 3.0.0.4.388_24198 RT-AX88U و قبل از آن (در 24209-3.0.0.4.388رفع شد)
- نسخه 3.0.0.4.388_23925 RT-AX58U و قبل از آن (در 3.0.0.4.388_24762 رفع شد)
- نسخه RT-AX57 3.0.0.4.386_52294 و قبل از آن (در 3.0.0.4.386_52303 رفع شد)
- نسخه3.0.0.4.386_51915 RT-AC86U و قبل از آن (در3.0.0.4.386_51925 رفع شد)
- نسخه 3.0.0.4.386_51668 RT-AC68U و قبل از آن (در 3.0.0.4.386_51685 رفع شد)
اوایل ژانویه امسال، ایسوس یک آسیبپذیری مهم دیگر را وصله کرد که با شناسه (CVE-2024-3912، امتیاز CVSS: 9.8) شناسایی شده بود و میتوانست به یک مهاجم راه دور احراز هویت نشده، امکان آپلود فایلهای دلخواه و اجرای دستورات سیستم را در دستگاه بدهد.
به کاربران روترهای آسیبدیده توصیه میشود برای ایمن شدن در برابر تهدیدات احتمالی، به آخرین نسخه بهروزرسانی شوند.
منبع:
https://thehackernews.com/2024/06/asus-patches-critical-authentication.html