ASUS advierte sobre una omisión crítica de autenticación remota en 7 enrutadores

Iniciado por AXCESS, Junio 15, 2024, 04:30:43 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Junio 15, 2024, 04:30:43 PM
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

ASUS ha lanzado una nueva actualización de firmware que soluciona una vulnerabilidad que afecta a siete modelos de enrutadores y que permite a atacantes remotos iniciar sesión en los dispositivos.

La falla, identificada como CVE-2024-3080 (puntuación CVSS v3.1: 9,8 "crítica"), es una vulnerabilidad de omisión de autenticación que permite a atacantes remotos no autenticados tomar el control del dispositivo.

ASUS dice que el problema afecta a los siguientes modelos de enrutadores:

 XT8 (ZenWiFi AX XT8): sistema Mesh WiFi 6 que ofrece cobertura tribanda con velocidades de hasta 6600 Mbps, compatibilidad con AiMesh, AiProtection Pro, roaming sin interrupciones y controles parentales.

 XT8_V2 (ZenWiFi AX XT8 V2): versión actualizada del XT8, que mantiene características similares con mejoras en rendimiento y estabilidad.

 RT-AX88U: enrutador WiFi 6 de doble banda con velocidades de hasta 6000 Mbps, con 8 puertos LAN, AiProtection Pro y QoS adaptable para juegos y transmisión.

 RT-AX58U: enrutador WiFi 6 de doble banda que proporciona hasta 3000 Mbps, con soporte AiMesh, AiProtection Pro y MU-MIMO para una conectividad eficiente entre múltiples dispositivos.

 RT-AX57: enrutador WiFi 6 de doble banda diseñado para necesidades básicas, que ofrece hasta 3000 Mbps, con soporte AiMesh y controles parentales básicos.

 RT-AC86U: enrutador WiFi 5 de doble banda con velocidades de hasta 2900 Mbps, con AiProtection, QoS adaptable y aceleración de juegos.

 RT-AC68U: enrutador WiFi 5 de doble banda que ofrece hasta 1900 Mbps, con soporte AiMesh, AiProtection y controles parentales sólidos.

ASUS sugiere que las personas actualicen sus dispositivos a las últimas versiones de firmware disponibles en sus portales de descarga:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Para aquellos que no pueden actualizar el firmware de inmediato, el proveedor sugiere que se aseguren de que sus contraseñas de cuenta y WiFi sean seguras (más de 10 caracteres no consecutivos).

Además, se recomienda deshabilitar el acceso a Internet al panel de administración, el acceso remoto desde WAN, el reenvío de puertos, DDNS, el servidor VPN, DMZ y el activador de puertos.

Una vulnerabilidad más abordada en el mismo paquete es CVE-2024-3079, un problema de desbordamiento del búfer de alta gravedad ( 7.2 ) que requiere acceso a una cuenta de administrador para explotarlo.

El CERT de Taiwán también informó al público sobre CVE-2024-3912 en una publicación de ayer, que es una vulnerabilidad crítica ( 9.8 ) de carga de firmware arbitraria que permite a atacantes remotos no autenticados ejecutar comandos del sistema en el dispositivo.

La falla afecta a varios modelos de enrutadores ASUS, pero no todos recibirán actualizaciones de seguridad debido a que han llegado al final de su vida útil (EoL).

La solución propuesta por modelo impactado es:

 DSL-N17U, DSL-N55U_C1, DSL-N55U_D1, DSL-N66U: actualice a la versión de firmware 1.1.2.3_792 o posterior.

 DSL-N12U_C1, DSL-N12U_D1, DSL-N14U, DSL-N14U_B1: actualice a la versión de firmware 1.1.2.3_807 o posterior.

 DSL-N16, DSL-AC51, DSL-AC750, DSL-AC52U, DSL-AC55U, DSL-AC56U: actualice a la versión de firmware 1.1.2.3_999 o posterior.

 DSL-N10_C1, DSL-N10_D1, DSL-N10P_C1, DSL-N12E_C1, DSL-N16P, DSL-N16U, DSL-AC52, DSL-AC55: fecha final de vida alcanzada, se recomienda el reemplazo.

Descargar Download Master

Finalmente, ASUS anunció una actualización de Download Master, una utilidad utilizada en los enrutadores ASUS que permite a los usuarios administrar y descargar archivos directamente a un dispositivo de almacenamiento USB conectado a través de torrent, HTTP o FTP.

La versión 3.1.0.114 de Download Master recientemente lanzada aborda cinco problemas de gravedad media a alta relacionados con la carga de archivos arbitrarios, la inyección de comandos del sistema operativo, el desbordamiento del búfer, el XSS reflejado y los problemas de XSS almacenados.

Aunque ninguno de ellos es tan crítico como CVE-2024-3080, se recomienda que los usuarios actualicen su utilidad a la versión 3.1.0.114 o posterior para una seguridad y protección óptimas.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Imprimir
Ir Arriba Páginas1
Acciones del Usuario