ASUS cảnh báo về việc bỏ qua xác thực từ xa trên 7 bộ định tuyến

Thông tin về lỗ hổng

ASUS đã phát hành bản cập nhật chương trình mới nhằm giải quyết lỗ hổng ảnh hưởng đến bảy mẫu bộ định tuyến cho phép kẻ tấn công từ xa đăng nhập vào thiết bị.

Lỗ hổng được theo dõi là CVE-2024-3080 (điểm CVSS v3.1: 9,8 “nghiêm trọng”), là một lỗ hổng bỏ qua xác thực cho phép những kẻ tấn công từ xa, không được xác thực chiếm quyền kiểm soát thiết bị.

ASUS cho biết sự cố này ảnh hưởng đến các mẫu bộ định tuyến sau: XT8 (ZenWiFi AX XT8) – Hệ thống Mesh WiFi 6 cung cấp vùng phủ sóng ba băng tần với tốc độ lên tới 6600 Mbps, hỗ trợ AiMesh, AiProtection Pro, chuyển vùng liền mạch và kiểm soát.

Phiên bản ảnh hưởng

XT8_V2 (ZenWiFi AX XT8 V2) – Phiên bản cập nhật của XT8, duy trì các tính năng tương tự với những cải tiến về hiệu suất và độ ổn định.

RT-AX88U – Bộ định tuyến WiFi 6 băng tần kép với tốc độ lên tới 6000 Mbps, có 8 cổng LAN, AiProtection Pro và QoS thích ứng để chơi game và phát trực tuyến.

RT-AX58U – Bộ định tuyến WiFi 6 băng tần kép cung cấp tốc độ lên tới 3000 Mbps, hỗ trợ AiMesh, AiProtection Pro và MU-MIMO để kết nối nhiều thiết bị hiệu quả.

RT-AX57 – Bộ định tuyến WiFi 6 băng tần kép được thiết kế cho các nhu cầu cơ bản, cung cấp tốc độ lên tới 3000 Mbps, có hỗ trợ AiMesh và các quyền kiểm soát cơ bản.

RT-AC86U – Bộ định tuyến WiFi 5 băng tần kép với tốc độ lên tới 2900 Mbps, có AiProtection, QoS thích ứng và tăng tốc trò chơi.

RT-AC68U – Bộ định tuyến WiFi 5 băng tần kép cung cấp tốc độ lên tới 1900 Mbps, có hỗ trợ AiMesh, AiProtection và khả năng kiểm soát mạnh mẽ.

ASUS khuyến nghị nên cập nhật thiết bị của mình lên phiên bản chương trình cơ sở mới nhất có sẵn trên các cổng tải xuống của hãng (các liên kết cho từng kiểu máy ở trên).

Đối với những người không thể cập nhật chương trình ngay lập tức, nhà cung cấp khuyên họ nên đảm bảo tài khoản và mật khẩu WiFi của họ đủ mạnh (dài hơn 10 ký tự không liên tiếp).

Hơn nữa, nên tắt quyền truy cập internet vào trang quản trị, truy cập từ xa từ WAN, chuyển tiếp cổng, DDNS, máy chủ VPN, DMZ và kích hoạt cổng.

Một lỗ hổng nữa được xử lý trên cùng gói là CVE-2024-3079, sự cố tràn bộ đệm có mức độ nghiêm trọng cao (7.2) yêu cầu quyền truy cập tài khoản quản trị viên để khai thác.

Lỗ hổng này ảnh hưởng đến nhiều mẫu bộ định tuyến ASUS, nhưng không phải tất cả sẽ nhận được bản cập nhật bảo mật do chúng hết hạn sử dụng (EoL).

Khuyến nghị

Nhằm đảm bảo an toàn thông tin cho hệ thống thông tin của đơn vị, góp phần đảm bảo an toàn cho không gian mạng Việt Nam, Trung tâm VNCERT/CC đưa ra những giải pháp được đề xuất cho mỗi mô hình bị ảnh hưởng là:

DSL-N17U, DSL-N55U_C1, DSL-N55U_D1, DSL-N66U: Nâng cấp lên phiên bản firmware 1.1.2.3_792 trở lên.

DSL-N12U_C1, DSL-N12U_D1, DSL-N14U, DSL-N14U_B1: Nâng cấp lên phiên bản firmware 1.1.2.3_807 trở lên.

DSL-N16, DSL-AC51, DSL-AC750, DSL-AC52U, DSL-AC55U, DSL-AC56U: Nâng cấp lên phiên bản firmware 1.1.2.3_999 trở lên.

DSL-N10_C1, DSL-N10_D1, DSL-N10P_C1, DSL-N12E_C1, DSL-N16P, DSL-N16U, DSL-AC52, DSL-AC55: Đã hết ngày EOL, nên thay thế.

Cuối cùng, ASUS đã công bố bản cập nhật cho Download Master, một tiện ích được sử dụng trên các bộ định tuyến ASUS cho phép người dùng quản lý và tải tệp trực tiếp xuống thiết bị lưu trữ USB được kết nối thông qua torrent, HTTP hoặc FTP.

Phiên bản Download Master 3.1.0.114 mới được phát hành giải quyết năm vấn đề có mức độ nghiêm trọng từ trung bình đến cao liên quan đến việc tải lên tệp tùy ý, chèn lệnh hệ điều hành, tràn bộ đệm, XSS phản ánh và các vấn đề XSS được lưu trữ.

Mặc dù không có cái nào trong số đó quan trọng bằng CVE-2024-3080, nhưng người dùng nên nâng cấp tiện ích của mình lên phiên bản 3.1.0.114 trở lên để có được sự bảo vệ và bảo mật tối ưu.