ASUS corrigiu bug crítico remoto de desvio de autenticação em roteadores

A ASUS aborda uma vulnerabilidade crítica de desvio de autenticação remota, rastreada como  CVE-2024-3080  (pontuação CVSS v3.1: 9,8), afetando sete modelos de roteadores.

A falha é um problema de desvio de autenticação que um invasor remoto pode explorar para efetuar login no dispositivo sem autenticação.

A falha afeta os seguintes modelos:

• ZenWiFi XT8 3.0.0.4.388_24609 (inclusive) versões anteriores
• ZenWiFi Versão RT-AX57 3.0.0.4.386_52294 (inclusive) versão anterior
• ZenWiFi Versão RT-AC86U 3.0.0.4.386_51915 (inclusive) versão anterior
• ZenWiFi Versão RT-AC68U 3.0.0.4.386_51668 (inclusive) versão anterior

A empresa lançou a seguinte atualização de firmware para resolver o problema:

• Atualize ZenWiFi XT8 para 3.0.0.4.388_24621 (inclusive) e versões posteriores
• Atualize o ZenWiFi XT8 V2 para 3.0.0.4.388_24621 (inclusive) e versões posteriores
• Atualize RT-AX88U para 3.0.0.4.388_24209 (inclusive) e versões posteriores
• Atualize RT-AX58U para 3.0 .0.4.388_24762 (inclusive) e versões posteriores
• atualize RT-AX57 para 3.0.0.4.386_52303 (inclusive) e versões posteriores
• atualize RT-AC86U para 3.0.0.4.386_51925 (inclusive) e versões posteriores
• atualizar RT-AC68U para 3.0.0.4.386_51685 ((incluindo) versões posteriores

O fornecedor também abordou uma falha crítica de firmware arbitrário de upload, rastreada como CVE-2024-3912 (pontuação CVSS 9,8) impactando vários dispositivos. Um invasor remoto não autenticado pode explorar a falha para executar comandos do sistema no dispositivo vulnerável.

Carlos Köpke da PLASMALABS descobriu a falha. Os produtos impactados são: DSL-N17U, DSL-N55U_C1, DSL-N55U_D1, DSL-N66U, DSL-N14U, DSL-N14U_B1, DSL-N12U_C1, DSL-N12U_D1, DSL-N16, DSL-AC51, DSL-AC750, DSL- AC52U, DSL-AC55U, DSL-AC56U.

Alguns modelos afetados não receberão as atualizações de firmware porque atingiram o fim de sua vida útil (EoL).

As seguintes versões corrigem a falha:

• Atualize os seguintes modelos para 1.1.2.3_792 (inclusive) e versões posteriores:
  DSL-N17U, DSL-N55U_C1, DSL-N55U_D1, DSL-N66U
• Atualize os seguintes modelos para 1.1.2.3_807 (inclusive) e versões posteriores:
  DSL-N12U_C1, DSL -N12U_D1, DSL-N14U, DSL-N14U_B1
• Atualize os seguintes modelos para 1.1.2.3_999 (inclusive) e versões posteriores:
  DSL-N16, DSL-AC51, DSL-AC750, DSL-AC52U, DSL-AC55U, DSL-AC56U
• e seguintes modelos Não são mais mantidos, recomenda-se substituir
  DSL-N10_C1, DSL-N10_D1, DSL-N10P_C1, DSL-N12E_C1, ,DSL-N16P, DSL-N16U, DSL-AC52, DSL-AC55.
  Caso não possa ser substituído em curto prazo, é recomendável fechá-lo. Acesso remoto (acesso Web a partir de WAN), servidor virtual (encaminhamento de porta), DDNS, servidor VPN, DMZ, disparo de porta