
ASUS a publié une nouvelle mise à jour du micrologiciel qui corrige une vulnérabilité affectant sept modèles de routeurs qui permettent aux attaquants distants de se connecter aux appareils.
La faille, identifiée comme CVE-2024 – 3080 (score CVSS v3. 1: 9,8 « critique »”, est une vulnérabilité de contournement d’authentification permettant à des attaquants distants non authentifiés de prendre le contrôle de l’appareil.
ASUS indique que le problème affecte les modèles de routeurs suivants:
- XT8 (ZenWiFi AX XT8) – Système WiFi 6 maillé offrant une couverture tri-bande avec des vitesses allant jusqu’à 6600 Mbps, une prise en charge AiMesh, AiProtection Pro, une itinérance transparente et des contrôles parentaux.
- XT8_V2 (ZenWiFi AX XT8 V2) – Version mise à jour du XT8, conservant des fonctionnalités similaires avec des améliorations de performances et de stabilité.
- RT-AX88U-Routeur WiFi 6 bi-bande avec des vitesses allant jusqu’à 6000 Mbps, avec 8 ports LAN, AiProtection Pro et QoS adaptative pour les jeux et le streaming.
- RT-AX58U-Routeur WiFi 6 bi-bande offrant jusqu’à 3000 Mbps, avec prise en charge AiMesh, AiProtection Pro et MU-MIMO pour une connectivité multi-appareils efficace.
- RT-AX57-Routeur WiFi 6 bi-bande conçu pour les besoins de base, offrant jusqu’à 3000 Mbps, avec prise en charge AiMesh et contrôles parentaux de base.
- RT-AC86U-Routeur WiFi 5 bi-bande avec des vitesses allant jusqu’à 2900 Mbps, avec AiProtection, QoS adaptative et accélération du jeu.
- RT-AC68U-Routeur WiFi 5 bi-bande offrant jusqu’à 1900 Mbps, avec prise en charge AiMesh, AiProtection et contrôles parentaux robustes.
ASUS suggère aux utilisateurs de mettre à jour leurs appareils avec les dernières versions de firmware disponibles sur ses portails de téléchargement (liens pour chaque modèle ci-dessus). Les instructions de mise à jour du micrologiciel sont disponibles sur cette page FAQ.
Pour ceux qui ne peuvent pas mettre à jour le micrologiciel immédiatement, le fournisseur suggère de s’assurer que leurs mots de passe de compte et WiFi sont forts (plus de 10 caractères non consécutifs).
De plus, il est recommandé de désactiver l’accès Internet au panneau d’administration, l’accès à distance depuis le WAN, la redirection de port, le DDNS, le serveur VPN, la DMZ et le déclencheur de port.
Une autre vulnérabilité corrigée sur le même package est CVE-2024-3079, un problème de débordement de tampon de gravité élevée (7.2) qui nécessite un accès au compte administrateur pour être exploité.
Le CERT de Taiwan a également informé le public de la vulnérabilité CVE-2024-3912 dans un article publié hier, qui est une vulnérabilité critique (9.8) de téléchargement arbitraire de micrologiciels permettant à des attaquants distants non authentifiés d’exécuter des commandes système sur l’appareil.
La faille affecte plusieurs modèles de routeurs ASUS, mais tous ne recevront pas de mises à jour de sécurité car ils ont atteint leur fin de vie (EoL).
La solution proposée par modèle impacté est:
- DSL-N17U, DSL-N55U_C1, DSL-N55U_D1, DSL-N66U: Mise à niveau vers la version 1.1.2.3_792 ou ultérieure du micrologiciel.
- DSL-N12U_C1, DSL-N12U_D1, DSL-N14U, DSL-N14U_B1: Mise à niveau vers la version 1.1.2.3_807 ou ultérieure du micrologiciel.
- DSL-N16, DSL-AC 51, DSL-AC750, DSL-AC52U, DSL-AC55U, DSL-AC56U: Mise à niveau vers la version du micrologiciel 1.1.2.3_999 ou ultérieure.
- DSL-N10_C1, DSL-N10_D1, DSL-N10P_C1, DSL-N12E_C1, DSL-N16P, DSL-N16U, DSL-AC52, DSL-AC 55: Date de fin de vie atteinte, le remplacement est recommandé.
Télécharger les mises à jour de sécurité principales
Enfin, ASUS a annoncé une mise à jour de Download Master, un utilitaire utilisé sur les routeurs ASUS qui permet aux utilisateurs de gérer et de télécharger des fichiers directement sur un périphérique de stockage USB connecté via torrent, HTTP ou FTP.
La nouvelle version 3.1.0.114 de Download Master résout cinq problèmes de gravité moyenne à élevée concernant le téléchargement arbitraire de fichiers, l’injection de commandes du système d’exploitation, le débordement de tampon, les problèmes XSS réfléchis et XSS stockés.
Bien qu’aucun de ceux-ci ne soit aussi critique que CVE-2024-3080, il est recommandé aux utilisateurs de mettre à niveau leur utilitaire vers la version 3.1.0.114 ou ultérieure pour une sécurité et une protection optimales.