
Trois vulnérabilités d’exécution de code à distance de gravité critique affectent les routeurs ASUS RT-AX55, RT-AX56U_V2 et RT-AC86U, permettant potentiellement aux acteurs malveillants de détourner les appareils si les mises à jour de sécurité ne sont pas installées.
Ces trois routeurs WiFi sont des modèles haut de gamme populaires sur le marché des réseaux grand public, actuellement disponibles sur le site Web ASUS, privilégiés par les joueurs et les utilisateurs ayant des besoins de performances exigeants.
Les failles, qui ont toutes un score CVSS v3.1 de 9,8 sur 10,0, sont des vulnérabilités de chaîne de format qui peuvent être exploitées à distance et sans authentification, permettant potentiellement l’exécution de code à distance, des interruptions de service et l’exécution d’opérations arbitraires sur l’appareil.
Les failles de chaîne de format sont des problèmes de sécurité résultant d’entrées utilisateur non validées et/ou non vérifiées dans les paramètres de chaîne de format de certaines fonctions. Ils peuvent entraîner divers problèmes, notamment la divulgation d’informations et l’exécution de code.
Les attaquants exploitent ces failles à l’aide d’entrées spécialement conçues envoyées aux appareils vulnérables. Dans le cas des routeurs ASUS, ils cibleraient certaines fonctions API administratives sur les appareils.
Les défauts
Les trois vulnérabilités révélées plus tôt dans la journée par le CERT taïwanais sont les suivantes :
- CVE-2023-39238 : Absence de vérification appropriée de la chaîne de format d’entrée sur le module API lié à iperf « ser_iperf3_svr.cgi ».
- CVE-2023-39239 : Absence de vérification appropriée de la chaîne de format d’entrée dans l’API de la fonction de paramétrage général.
- CVE-2023-39240 : Absence de vérification appropriée de la chaîne de format d’entrée sur le module API lié à iperf « ser_iperf3_cli.cgi ».
Les problèmes ci-dessus affectent les ASUS RT-AX55, RT-AX56U_V2 et RT-AC86U dans les versions de firmware 3.0.0.4.386_50460, 3.0.0.4.386_50460 et 3.0.0.4_386_51529 respectivement.
La solution recommandée consiste à appliquer les mises à jour du micrologiciel suivantes :
- RT-AX55 : 3.0.0.4.386_51948 ou version ultérieure
- RT-AX56U_V2 : 3.0.0.4.386_51948 ou version ultérieure
- RT-AC86U : 3.0.0.4.386_51915 ou version ultérieure
ASUS a publié des correctifs corrigeant les trois failles début août 2023 pour le RT-AX55, en mai 2023 pour l’AX56U_V2 et en juillet 2023 pour le RT-AC86U.
Les utilisateurs qui n’ont pas appliqué les mises à jour de sécurité depuis lors doivent considérer leurs appareils vulnérables aux attaques et donner la priorité à l’action dès que possible.
De plus, comme de nombreuses failles des routeurs grand public ciblent la console d’administration Web, il est fortement conseillé de désactiver la fonctionnalité d’administration à distance (WAN Web Access) pour empêcher l’accès depuis Internet.