Werbung
AVMs güstiger DSL-Router mit Wi-Fi 6: FRITZ!Box 7530 AX (Modell für Deutschland)


 

3 kritische und 5 hochgefährliche Sicherheitslücken in Routern von ASUS

Meldung von doelf, Mittwoch der 06.09.2023, 15:20:41 Uhr

logo

Drei Router des taiwanischen Herstellers ASUS weisen kritische Sicherheitslücken auf, welche eine Übernahme der Router aus der Ferne ermöglichen. Betroffen sind die Modelle ASUS RT-AX55, RT-AX56U V2 und RT-AC86U. Im ASUS RT-AC86U stecken zudem fünf hochgefährliche Schwachstellen, mit deren Hilfe man dem Router eigenen Code unterschieben kann. Frische Firmware-Updates, welche alle acht Lücken schließen, sind bereits verfügbar.

Besonders kritisch sind drei unzureichende Eingabeprüfungen (CVE-2023-39240, CVE-2023-39239 und CVE-2023-39238) in der API für allgemeine Einstellungen und den Modulen set_iperf3_cli.cgi und set_iperf3_svr.cgi, welche mit dem CVSS-Schweregrad 9,8 bewertet werden. Diese ermöglichen es Angreifern, die Router-Modelle ASUS RT-AX55, RT-AX56U V2 und RT-AC86U aus der Ferne zu übernehmen. ASUS hat diese Fehler in den Firmware-Updates 3.0.0.4.386_51948 für die Router ASUS RT-AX55 und RT-AX56U V2 sowie in der Fimrware 3.0.0.4.386_51915 für das Modell ASUS RT-AC86U beseitigt.

Darüber hinaus kümmert sich die Firmware 3.0.0.4.386_51915 auch noch um fünf weitere Schwachstellen (CVE-2023-39237, CVE-2023-39236, CVE-2023-38033, CVE-2023-38032 und CVE-2023-38031) im ASUS RT-AC86U, welche mit einer CVSS-Wertung von 8,8 nur knapp am Schweregrad kritisch vorbeigeschrammt sind. Diese hochriskanten Fehler können angemeldete Benutzer missbrauchen, um Command-Injection-Angriffe durchzuführen. Sie können dann beliebige Befehle ausführen und den Router manipulieren, übernehmen oder auch komplett lahmlegen.

Hier die Übersicht der acht Sicherheitslücken:

  • Betroffene Router: ASUS RT-AX55, RT-AX56U V2 und RT-AC86U
    • TVN-202309009 (CVE-2023-39240)
      Bezeichnung: Format String - 3
      Beschreibung: Eine unzureichende Prüfung einer Formatzeichenfolge in set_iperf3_cli.cgi ermöglicht es nicht authentifizierten Angreifern, eigenen Code aus der Ferne auszuführen, die Kontrolle über den Router zu erlangen und Dienste zu unterbrechen.
      CVSS-Schweregrad: 9,8 (kritisch)
      Behoben in Firmware 3.0.0.4.386_51948 (ASUS RT-AX55 und RT-AX56U V2) bzw. 3.0.0.4.386_51915 (ASUS RT-AC86U)
    • TVN-202309008 (CVE-2023-39239)Bezeichnung: Format String - 2
      Beschreibung: Eine unzureichende Prüfung einer Formatzeichenfolge in der API für allgemeine Einstellungen ermöglicht es nicht authentifizierten Angreifern, eigenen Code aus der Ferne auszuführen, die Kontrolle über den Router zu erlangen und Dienste zu unterbrechen.
      CVSS-Schweregrad: 9,8 (kritisch)
      Behoben in Firmware 3.0.0.4.386_51948 (ASUS RT-AX55 und RT-AX56U V2) bzw. 3.0.0.4.386_51915 (ASUS RT-AC86U)
    • TVN-202309007 (CVE-2023-39238)Bezeichnung: Format String - 1
      Beschreibung: Eine unzureichende Prüfung einer Formatzeichenfolge in set_iperf3_svr.cgi ermöglicht es nicht authentifizierten Angreifern, eigenen Code aus der Ferne auszuführen, die Kontrolle über den Router zu erlangen und Dienste zu unterbrechen.
      CVSS-Schweregrad: 9,8 (kritisch)
      Behoben in Firmware 3.0.0.4.386_51948 (ASUS RT-AX55 und RT-AX56U V2) bzw. 3.0.0.4.386_51915 (ASUS RT-AC86U)

  • Betroffener Router: ASUS RT-AC86U
    • TVN-202309006 (CVE-2023-39237)Bezeichnung: Command injection vulnerability - 5
      Beschreibung: Die Filterung der Anwendungsanalyse im Traffic Analyzer ist unzureichend und ermöglicht angemeldeten Benutzern Command-Injection-Angriffe. Die Nutzer können beliebige Befehle ausführen und den Router übernehmen oder Dienste unterbrechen.
      CVSS-Schweregrad: 8,8 (hoch)
      Behoben in Firmware 3.0.0.4.386_51915 (ASUS RT-AC86U)
    • TVN-202309005 (CVE-2023-39236)Bezeichnung: Command injection vulnerability - 4
      Beschreibung: Die Filterung der statistischen Auswertung im Traffic Analyzer ist unzureichend und ermöglicht angemeldeten Benutzern Command-Injection-Angriffe. Die Nutzer können beliebige Befehle ausführen und den Router übernehmen oder Dienste unterbrechen.
      CVSS-Schweregrad: 8,8 (hoch)
      Behoben in Firmware 3.0.0.4.386_51915 (ASUS RT-AC86U)
    • TVN-202309004 (CVE-2023-38033)Bezeichnung: Command injection vulnerability - 3
      Beschreibung: Die Filterung der wanStat_detail-Funktion im Traffic Analyzer ist unzureichend und ermöglicht angemeldeten Benutzern Command-Injection-Angriffe. Die Nutzer können beliebige Befehle ausführen und den Router übernehmen oder Dienste unterbrechen.
      CVSS-Schweregrad: 8,8 (hoch)
      Behoben in Firmware 3.0.0.4.386_51915 (ASUS RT-AC86U)
    • TVN-202309003 (CVE-2023-38032)Bezeichnung: Command injection vulnerability - 2
      Beschreibung: Die Filterung in der AiProtection ist unzureichend und ermöglicht angemeldeten Benutzern Command-Injection-Angriffe. Die Nutzer können beliebige Befehle ausführen und den Router übernehmen oder Dienste unterbrechen.
      CVSS-Schweregrad: 8,8 (hoch)
      Behoben in Firmware 3.0.0.4.386_51915 (ASUS RT-AC86U)
    • TVN-202309002 (CVE-2023-38031)Bezeichnung: Command injection vulnerability - 1
      Beschreibung: Die Filterung in der Webbrowser-Verlaufsfunktion des Adaptive QoS ist unzureichend und ermöglicht angemeldeten Benutzern Command-Injection-Angriffe. Die Nutzer können beliebige Befehle ausführen und den Router übernehmen oder Dienste unterbrechen.
      CVSS-Schweregrad: 8,8 (hoch)
      Behoben in Firmware 3.0.0.4.386_51915 (ASUS RT-AC86U)

Firmware-Downloads
Im ASUS Download-Center findet sich die fehlerbereinigte Firmware 3.0.0.4.386_51915 für den ASUS RT-AC86U. Sie datiert auf den 10. Juli 2023 und schließt insgesamt sogar 30 Sicherheitslücken (CVE-2023-35086, CVE-2023-35087, CVE-2023-35720, CVE-2023-28322, CVE-2023-28321, CVE-2023-28319, CVE-2022-3964, CVE-2022-48434, CVE-2022-3109, CVE-2023-0464, CVE-2020-28926, CVE-2020-12695, CVE-2020-11656, CVE-2019-19646, CVE-2019-8457, CVE-2020-11655, CVE-2018-20505, CVE-2019-16168, CVE-2019-19645, CVE-2020-13435, CVE-2020-13631, CVE-2020-13434, CVE-2023-39238, CVE-2023-39239, CVE-2023-39240, CVE-2023-38031, CVE-2023-38032, CVE-2023-38033, CVE-2023-39236 und CVE-2023-39237).

Für den Router ASUS RT-AX55 wird die Version 3.0.0.4.386_52041 angeboten, welche vom 31. August 2023 stammt und somit nochmals neuer ist. Hinsichtlich der Firmware 3.0.0.4.386_51948 vom 8. Juli 2023 führt ASUS kurioserweise alle acht oben beschriebenen Schwachstellen (CVE-2023-39238, CVE-2023-39239, CVE-2023-39240, CVE-2023-38031, CVE-2023-38032, CVE-2023-38033, CVE-2023-39236 und CVE-2023-39237) auf, obwohl dieses Modell nur drei davon betreffen.

Den Router ASUS RT-AX56U V2 konnten wir weder auf den Produkt- noch auf den Support-Seiten von ASUS aufspüren. Hier müssen wir den Download-Link schuldig bleiben.

Diese Werbefläche wurde deaktiviert. Damit geht Au-Ja.de eine wichtige Einnahmequelle verloren.

Werbung erlauben ]