Súlyos biztonsági hibát talált Accuvant Labs kutatója, Joshua Drake az ASUS egyes hálózati útválasztóiban. A tavaly ősszel publikált CVE-2014-9583 azonosítójú hiba kihasználásával a támadók tetszőleges műveleteket hajthatnak végre a routereken anélkül, hogy bármiféle adminisztrátori jelszót ismerniük kellene – írta a Biztonságportál.

A kutató a sebezhetőséget a Magyarországon is forgalmazott RT-N66U típusú Wi-Fi routerben találta meg, amelyen a 3.0.0.376.2524-g0013f52 verziójú firmware futott. Fennáll azonban a veszélye, hogy más firmware-verziókban is létezik ugyanez a hiba. David Longenecker, aki szintén sokat foglalkozik az ASUS eszközök biztonsági réseivel, már ki is mutatta a Drake-féle biztonsági rést az RT-AC87U (firmware: 3.0.0.4.378_3754) útválasztóban – a típust szintén forgalmazzák Magyarországon. Ebben az esetben annyi korlátozza a támadók mozgásterét, hogy az exploit maximum 237 karaktert tartalmazhat, ugyanis az ennél nagyobb "csomagok" hatására a router összeomlik.

A hiba az érintett routereken root jogosultsággal futó infosvr szolgáltatásban található, és a 9999-es UDP portra küldött, speciálisan szerkesztett csomagokkal lehet kihasználni – például különféle parancsok végrehajtására. (Ezt a portot az egyik ASUS eszköz használja arra, hogy a helyi hálózatban megtalálja a routert, és megkönnyítse annak konfigurálását.)

Az ASUS elismerte a sérülékenység létezését, és már dolgozik a hibajavításokon. A javítás megjelenéséig átmeneti megoldásokkal (az infosvr szolgáltatás leállításával) lehet csökkenteni a kockázatokat.

Frissítés: 

Az Asus hazai képviseletétől időközben befutó információk szerint már letölthető a hibát orvosló firmware-frissítés. A teljes kínálathoz (a belépőszintű RT-N10-hez is) elérhető javítócsomagot (3.0.0.4.376.3754 verziószámú frissítés), a terméktámogatási oldalról való letöltés után, a router admin felületén keresztül lehet telepíteni.