Asus vừa phát hành bản vá để giải quyết nhiều lỗ hổng trong các kiểu bộ định tuyến, cảnh báo khách hàng cập nhật ngay thiết bị của họ hoặc hạn chế quyền truy cập mạng WAN cho đến khi chúng được bảo mật.
Theo Asus, bản cập nhật mới được phát hành chứa các bản vá cho 9 lỗi bảo mật, bao gồm cả những lỗi nghiêm trọng và nghiêm trọng.
Nghiêm trọng nhất là CVE-2022-26376, điểm CVSS 9,8, lỗi bộ nhớ trong firmware Asuswrt dành cho bộ định tuyến ASUS. Lỗ hổng có thể cho phép kẻ tấn công kích hoạt trạng thái từ chối dịch vụ hoặc giành quyền thực thi mã.
Bên cạnh đó, hãng cũng phát hành bản vá cho lỗ hổng CVE – 2018 – 1160, đây là lỗi ghi ngoài giới hạn Netatalk, có thể bị khai thác để thực thi mã tùy ý trên các thiết bị chưa được vá.
Bản vá quan trọng khác dành cho lỗi CVE-2018-1160 gần 5 năm tuổi gây ra bởi điểm yếu Netatalk ghi ngoài giới hạn cũng có thể bị khai thác để thực thi mã tùy ý trên các thiết bị chưa được vá.
ASUS đã cảnh báo trong một tư vấn bảo mật ” Nếu bạn không cài đặt bản vá firmware mới, chúng tôi khuyên bạn nên tắt các dịch vụ có thể truy cập từ phía mạng WAN để tránh các hành vi xâm nhập trái phép như: truy cập từ xa từ mạng WAN, chuyển tiếp cổng (port forwarding), DDNS, máy chủ VPN, DMZ, cổng kích hoạt (port trigger). Đặc biệt, hãy kiểm tra định kỳ thiết bị và quy trình bảo mật.”
Danh sách các thiết bị bị ảnh hưởng bao gồm các mẫu sau: GT6, GT-AXE16000, GT-AX11000 PRO, GT-AX6000, GT-AX11000, GS-AX5400, GS-AX3000, XT9, XT8, XT8 V2, RT-AX86U PRO, RT -AX86U, RT-AX86S, RT-AX82U, RT-AX58U, RT-AX3000, TUF-AX6000 và TUF-AX5400.