Markus Spiske, Unsplash
Три критические уязвимости с возможностью дистанционного выполнения кода затронули популярные среди геймеров и продвинутых пользователей маршрутизаторы ASUS, модели RT-AX55, RT-AX56U_V2 и RT-AC86U, сообщает Bleeping Computer. Все три уязвимости получили оценку опасности 9,8 из 10 по стандарту CVSS 3.1 и позиционируются, как эксплойты неконтролируемой строки формата. Злоумышленники используют эти уязвимости, посылая на устройства специально подготовленные запросы. В случае с маршрутизаторами ASUS целью злоумышленников являются определённые API запросы для администрирования устройств, объясняют специалисты, настоятельно рекомендуя по возможности всегда отключать функции удалённого администрирования.
В базе данных общеизвестных уязвимостей информационной безопасности найденные уязвимости имеют следующие идентификаторы и описание:
- CVE-2023-39238: отсутствие надлежащей проверки строки входного формата в связанном с iperf модуле API ser_iperf3_svr.cgi
- CVE-2023-39239: отсутствие надлежащей проверки строки формата ввода в API функции общих настроек
- CVE-2023-39240: отсутствие надлежащей проверки строки входного формата в связанном с iperf модуле API ser_iperf3_cli.cgi
Уязвимости подвержены маршрутизаторы ASUS RT-AX55, RT-AX56U_V2 и RT-AC86U с версиями прошивки 3.0.0.4.386_50460, 3.0.0.4.386_50460 и 3.0.0.4_386_51529 соответственно, для них нужно установить обновления 3.0.0.4.386_51948, 3.0.0.4.386_51948 и 3.0.0.4.386_51915 или более новые.
