Foram descobertas três vulnerabilidades de gravidade crítica de execução remota de código que afetam os routers ASUS RT-AX55, RT-AX56U_V2 e RT-AC86U. Assim permitem que utilizadores mal-intencionados se apoderem dos dispositivos se as atualizações de segurança não forem instaladas.
Descobertas vulnerabilidades perigosas nos routers da ASUS!
Estes três routers Wi-fi são modelos topo de gama populares no mercado de consumo. De facto há muitos jogadores que os utilizam e como tal todo o cuidado é pouco.
As falhas são vulnerabilidades que se podem explorar remotamente e sem autenticação, permitindo potencialmente a execução remota de código, interrupções de serviço e a realização de operações arbitrárias no dispositivo.
Entretanto tudo isto se deve a falhas de formatação das cadeias de carateres. Na prática são problemas de segurança que resultam de entradas do utilizador não validadas e/ou não higienizadas nos parâmetros de formatação das cadeias de carateres de determinadas funções. Escusado será dizer que podem dar origem a vários problemas, incluindo a divulgação de informações e a execução de código.
Os atacantes exploram estas falhas utilizando dados de entrada especialmente elaborados e enviados para os dispositivos vulneráveis. No caso dos routers da ASUS, os atacantes apontam a determinadas funções administrativas da API nos dispositivos.
- CVE-2023-39238: falha de verificação adequada da cadeia de formato de entrada no módulo da API relacionado com o iperf ‘ser_iperf3_svr.cgi’.
- CVE-2023-39239: falha de verificação correcta da cadeia de formato de entrada na API da função de definição geral.
- CVE-2023-39240: falha de verificação adequada da cadeia de formato de entrada no módulo API relacionado com iperf ‘ser_iperf3_cli.cgi’.
Os problemas acima afetam o ASUS RT-AX55, RT-AX56U_V2 e RT-AC86U nas versões de firmware 3.0.0.4.386_50460, 3.0.0.4.386_50460 e 3.0.0.4_386_51529, respetivamente.
A solução recomendada é aplicar as seguintes atualizações de firmware:
RT-AX55: 3.0.0.4.386_51948 ou posterior
RT-AX56U_V2: 3.0.0.4.386_51948 ou posterior
RT-AC86U: 3.0.0.4.386_51915 ou posterior
Entretanto a ASUS lançou patches que abordam as três falhas no início de agosto de 2023 para o RT-AX55, em maio de 2023 para o AX56U_V2 e em julho de 2023 para o RT-AC86U.
Os utilizadores que não tenham aplicado as atualizações de segurança desde então devem considerar os seus dispositivos vulneráveis a ataques e dar assim prioridade à ação o mais rapidamente possível.
Além disso, como muitas falhas dos routers de consumo visam a consola de administração Web, é fortemente aconselhável desativar a funcionalidade de administração remota (WAN Web Access) para impedir o acesso a partir da Internet.
