ASUS cảnh báo lỗ hổng bỏ qua xác thực từ xa nghiêm trọng trên 7 bộ định tuyến

- ASUS đã phát hành bản cập nhật firmware mới nhằm giải quyết một lỗ hổng nghiêm trọng ảnh hưởng đến 7 mẫu bộ định tuyến cho phép kẻ tấn công từ xa đăng nhập vào thiết bị.

Lỗ hổng có định danh CVE-2024-3080 (điểm CVSS: 9,8), là một lỗi bỏ qua xác thực cho phép kẻ tấn công chưa được xác thực chiếm quyền kiểm soát thiết bị.

ASUS cho biết lỗ hổng này ảnh hưởng đến 7 mẫu bộ định tuyến sau:

- XT8 (ZenWiFi AX XT8)

- XT8_V2 (ZenWiFi AX XT8 V2)

- RT-AX88U

- RT-AX58U

- RT-AX57

- RT-AC86U

- RT-AC68U

ASUS khuyến nghị người dùng nên cập nhật thiết bị của họ lên phiên bản firmware mới nhất hiện có. Hướng dẫn cập nhật firmware có sẵn trên trang Câu hỏi thường gặp.

Những người chưa thể cập nhật firmware ngay lập tức cần đảm bảo tài khoản và mật khẩu WiFi của họ đủ mạnh (dài hơn 10 ký tự không liên tiếp).

Ngoài ra, bạn nên tắt quyền truy cập internet vào bảng quản trị, truy cập từ xa từ WAN, chuyển tiếp cổng (port forwarding), DDNS, máy chủ VPN, DMZ và kích hoạt cổng (port trigger).

Một lỗ hổng khác được giải quyết trong bản cập nhật này là CVE-2024-3079, sự cố tràn bộ đệm có độ nghiêm trọng mức cao (điểm CVSS: 7.2) yêu cầu quyền truy cập tài khoản quản trị viên để khai thác.

CERT Đài Loan cũng đã công bố thông tin CVE-2024-3912, một lỗ hổng tải lên firmware tùy ý nghiêm trọng (điểm CVSS: 9.8) cho phép những kẻ tấn công từ xa, không được xác thực thực thi các lệnh (system command) trên thiết bị.

Lỗ hổng này ảnh hưởng đến nhiều mẫu bộ định tuyến ASUS, nhưng không phải tất cả sẽ nhận được bản cập nhật bảo mật do chúng đã lỗi thời và không còn được hỗ trợ (EoL). Người dùng cần nâng cấp lên các phiên bản đã được vá hoặc thay thế các thiết bị EoL để ngăn chặn rủi ro tiềm ẩn liên quan đến lỗ hổng.

ASUS đã công bố bản cập nhật cho Download Master, một tiện ích được sử dụng trên các bộ định tuyến ASUS cho phép người dùng quản lý và tải tệp trực tiếp xuống thiết bị lưu trữ USB được kết nối thông qua torrent, HTTP hoặc FTP.

Phiên bản Download Master 3.1.0.114 mới được phát hành giải quyết 5 vấn đề bảo mật có mức độ nghiêm trọng từ trung bình đến cao liên quan đến việc tải lên tệp tùy ý, OS command injection, tràn bộ đệm, XSS.

Người dùng nên nâng cấp tiện ích của mình lên phiên bản 3.1.0.114 trở lên để được bảo vệ và bảo mật tối ưu.

PV (theo bleepingcomputer.com/tinnhiemmang.vn)