华硕多款路由器曝 9 个安全漏洞,可越界写入执行任意代码

华硕发布补丁以修复影响多个路由器模型的关键安全错误

近日,华硕发布了固件更新,以修复影响多种路由器型号的 9 个安全漏洞等问题。该9个安全漏洞的严重程度,其中2个被评为严重,6个被评为高危,剩下1个还有待分析。

本次安全漏洞修复涉及到华硕如下产品,包括 GT6、GT-AXE16000、GT-AX11000 PRO、GT-AXE11000、GT-AX6000、GT-AX11000、GS-AX5400、GS-AX3000、XT9、XT8、XT8 V2、RT-AX86U PRO、RT -AX86U、RT-AX86S、RT-AX82U、RT-AX58U、RT-AX3000、TUF-AX6000 和 TUF-AX5400。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理,该9个安全漏洞中,最为严重的漏洞是 CVE-2018-1160 和 CVE-2022-26376,这两个漏洞在 CVSS 评分系统上的评分均为 9.8 分(满分 10 分)。

CVE-2018-1160 漏洞涉及 3.1.12 之前的 Netatalk 版本中存在近五年的越界写入缺陷,该缺陷可能允许未经身份验证的远程攻击者实现任意代码执行。

CVE-2022-26376 漏洞被描述为 Asuswrt 固件中的内存损坏漏洞,可以通过特制的 HTTP 请求触发。

其余的 7 个安全漏洞基本情况如下:

  • CVE-2022-35401(CVSS 评分:8.1) – 身份验证绕过漏洞,可能允许攻击者发送恶意 HTTP 请求以获得对设备的完全管理访问权限。
  • CVE-2022-38105(CVSS 评分:7.5)- 信息泄露漏洞,可被利用通过发送特制的网络数据包来访问敏感信息。
  • CVE-2022-38393(CVSS 评分:7.5)- 拒绝服务 (DoS) 漏洞,可通过发送特制网络数据包触发。
  • CVE-2022-46871(CVSS 评分:8.8)- 使用过时的 libusrsctp 库,该库可能使目标设备遭受其他攻击。
  • CVE-2023-28702(CVSS 评分:8.8) – 命令注入缺陷,本地攻击者可利用该缺陷执行任意系统命令、破坏系统或终止服务。
  • CVE-2023-28703(CVSS 评分:7.2) – 一个基于堆栈的缓冲区溢出漏洞,具有管理员权限的攻击者可以利用该漏洞执行任意系统命令、破坏系统或终止服务。
  • CVE-2023-31195(CVSS 评分:N/A)- 中间对手 (AitM) 缺陷,可能导致用户会话被劫持。

建议用户尽快升级设备,更新到最新版本,以降低安全风险。作为缓解措施,建议用户禁用从 WAN 端访问的服务,以避免潜在的不必要的入侵。

 

华硕多款路由器曝 9 个安全漏洞,可越界写入执行任意代码

极牛网精选文章《华硕多款路由器曝 9 个安全漏洞,可越界写入执行任意代码》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/24426.html

(30)
打赏 微信公众号 微信公众号 微信小程序 微信小程序
威胁感知的头像威胁感知认证作者
上一篇 2023年6月16日 上午11:05
下一篇 2023年6月24日 上午11:59

相关推荐

发表回复

登录后才能评论
扫码关注
扫码关注
分享本页
返回顶部