W wybranych routerach ASUS z serii DSL wykryto krytyczną podatność umożliwiającą obejście uwierzytelnienia. Zdalny atakujący bez żadnych uprawnień może uzyskać nieautoryzowany dostęp do podatnego urządzenia.
▸ Pokaż oryginał (EN)
An authentication bypass vulnerability has been identified in certain DSL series routers, may allow remote attackers to gain unauthorized access into the affected system. Refer to the 'Security Update for DSL Series Router' section on the ASUS Security Advisory for more information.
Podatność wynika z wadliwej implementacji mechanizmów uwierzytelnienia (CWE-288) lub całkowitego braku wymaganego uwierzytelnienia dla krytycznych funkcji (CWE-306). Atakujący sieciowy może ominąć procedury logowania bez konieczności posiadania jakichkolwiek danych uwierzytelniających, interakcji użytkownika ani spełnienia szczególnych warunków. Atak może być przeprowadzony zdalnie przez sieć, co znacząco zwiększa ryzyko eksploatacji.
Atakujący może uzyskać nieautoryzowany dostęp do systemu zarządzania routerem, co potencjalnie pozwala na przejęcie pełnej kontroli nad urządzeniem, zmianę konfiguracji sieci oraz umożliwia dalsze ataki na urządzenia w sieci lokalnej.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegółowe informacje o aktualizacjach firmware znajdują się w komunikacie ASUS Security Advisory w sekcji 'Security Update for DSL Series Router' pod adresem https://www.asus.com/security-advisory
ASUS DSL-AC51, ASUS DSL-AC51 Firmware, ASUS DSL-N16, ASUS DSL-N16 Firmware, ASUS DSL-AC750 — konkretne wersje firmware wskazane w referencjach producenta (ASUS Security Advisory, sekcja 'Security Update for DSL Series Router')
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XAsus Dsl Ac51
HWAsuswszystkie wersjeAsus Dsl Ac51 Firmware
OSAsus< 1.1.2.3_1010Asus Dsl Ac750
HWAsuswszystkie wersjeAsus Dsl Ac750 Firmware
OSAsus< 1.1.2.3_1010Asus Dsl N16
HWAsuswszystkie wersjeAsus Dsl N16 Firmware
OSAsus< 1.1.2.3_1010
Powiązane podatności
ASUS DSL-AC51, DSL-AC52U, DSL-AC55U, DSL-N55U C1, DSL-N55U D1, DSL-AC56U, DSL-N10_C1, DSL-N12U C1, DSL-N12E C1...
Multiple XML external entity (XXE) vulnerabilities in the AiCloud feature on ASUS DSL-AC51, DSL-AC52U, DSL-AC5...
ASUS Live Update — kompromitacja łańcucha dostaw (supply chain compromise)
The administrator application on ASUS GT-AC2900 devices before 3.0.0.4.386.42643 and Lyra Mini before 3.0.0.4_...
ASUS Armoury Crate — zapis i odczyt dowolnych plików przez sieć bez uwierzytelnienia