ASUS patcht drie routers die kwetsbaar zijn voor remote code execution

ASUS heeft patches uitgebracht voor verschillende kritieke lekken in drie van zijn routers. Deze kwetsbaarheden maken remote code execution mogelijk. Het betreffen de ASUS RT-AX55, RT-AX56U_V2 en RT-AC86U.

ASUS RT-AC86U Dual Band Wireless Router AC2900
De ASUS RT-AC86U

De genoemde routers van ASUS zijn alle drie kwetsbaar voor drie verschillende kwetsbaarheden. Dat meldde de nationale Computer Emergency Response Team van Taiwan onlangs, zo merkte Bleeping Computer op.

De drie kwetsbaarheden worden aangemerkt als CVE-2023-39238, CVE-2023-39239 en CVE-2023-39240. Ze hebben allemaal een CVSS-score van 9,8 uit 10. Het betreffen daarnaast allemaal format string-kwetsbaarheden die op afstand en zonder authenticatie uitgevoerd kunnen worden. Deze maken het mogelijk om op afstand code op de routers uit te voeren.

Er zijn inmiddels patches beschikbaar. Gebruikers wordt aangeraden om deze zo snel mogelijk te installeren. De AX55 kreeg de patches in augustus. De AX56U_V2 kreeg de update in mei en de AC86U kreeg de patches in juli. Gebruikers kunnen de firmware updaten via de webinterface van de router, of handmatig downloaden via de website van ASUS.

Router Kwetsbare firmware Firmwareversie met patches
ASUS RT-AX55 Firmwareversie 3.0.0.4.386_50460 Firmwareversie 3.0.0.4.386_51948 of nieuwer
ASUS RT-AX56U_V2 Firmwareversie 3.0.0.4.386_50460 Firmwareversie 3.0.0.4.386_51948 of nieuwer
ASUS RT-AC86U Firmwareversie 3.0.0.4_386_51529 Firmwareversie 3.0.0.4.386_51915 of nieuwer

Door Daan van Monsjou

Nieuwsredacteur

06-09-2023 • 19:54

26

Submitter: Puremonk

Lees meer

Reacties (26)

26
26
12
2
0
6
Wijzig sortering
Is het gebruikelijk dat routers van buitenaf te benaderen zijn? Meestal toch enkel vanaf LAN?
Is het gebruikelijk dat routers van buitenaf te benaderen zijn? Meestal toch enkel vanaf LAN?
Alle Asus routers hebben een 'behulpzame' feature waarbij het domein router.asus.com naar de router verwijst. Als een exploit mogelijk is via bijv. een unauthenticated GET request naar de web-interface van de router, dan is die uit te buiten middels bijv. malvertising op websites. Hoeven enkel een <meta rel="preload"> directive te bevatten met de URL en mocht de gebruiker achter een Asus router zitten? Dan kassa.

[Reactie gewijzigd door R4gnax op 27 juli 2024 12:15]

Dat is de bedoeling lijkt me, maar dit en bug in de programmatuur die niet eerder is opgevallen kan dat wel eens anders zijn.
Bijvoorbeeld boefje X ziet kans de router te laten denken dat ie vanaf buiten met een intern op adres bezig is. Niet de bedoeling, maar zo iets knulligs gebeurt vaker dan je wilt. En dan is de software echt wel door de controles gegaan, maar heeft boefje X gewoon een heel gekke, ongebruikelijke manier van verbinden uitgevonden...
Het goede is dat het redelijk snel gefixt wordt bij ASUS, door de samenwerking met OpenWRT, het trieste is dat meeste door ISP geleverde routers, vaak ook behoorlijke lekken hebben, maar die nooit gefixt worden.

Zelf gebruik ik daarom een pfSense router/firewall (OPNsense is een prima alternatief), dat naast gratis voor thuis gebruik, ook professioneel als de router en firewall voor grote bedrijven.gebruikt worden, en er nog meer ogen op zijn gericht op lekken.

En is prima zelf te bouwen, met een doosje van Ali, of zelf wat bouwen als je de Chinezen niet vertrouwd, let wel op dat je ondersteunde hardware gebruikt want FreeBSD is wat kritischer dan Windows wat dat betreft.
Beetje vreemd inderdaad proberen de meest betrouwbare en veilige netwerksoftware op te zetten en daarvoor een of ander onbekend Chinees stuk hardware voor te gebruiken. Waarvan je geen idee hebt wat die achter de schermen hardwarematig allemaal nog over het internet stuurt.

Ik persoonlijk gebruik tegenwoordig een mikrotik router. Geen idee overigens hoe betrouwbaar die hardware is maar bevalt erg goed
Ik persoonlijk gebruik tegenwoordig een mikrotik router. Geen idee overigens hoe betrouwbaar die hardware is maar bevalt erg goed
MikroTik is gewoon goed, heb hier zelf een hele snelle L3 switch van ze in mijn netwerk, maar zou ze alsnog niet gebruiken als firewall, daar is OPNsense of pfSense een veel betere oplossing.

Daarnaast geeft het veel meer opties om je netwerk te filteren, op o.a. trackers en ads (zoals Pi-hole) voor je hele netwerk, en zeker aan te bevelen als je smart-home dingen doet.

Een N100 doosje gebruikt nagenoeg hetzelfde als een R-Pi4, maar je kan er veel en veel meer.
MikroTikTok is daarentegen weer slecht
Ik kan die van mij ook van buiten benaderen. Via de ingebouwde functies.
Je kunt WAN beheer bij ASUS (uiteraard) aanzetten. Ik kan ook niet direct opmaken of deze kwetsbaarheden daadwerkelijk op afstand te gebruiken zijn. Wel staat er in het bronartikel van Bleeping Computer:
Furthermore, as many consumer router flaws target the web admin console, it is strongly advised to turn off the remote administration (WAN Web Access) feature to prevent access from the internet.
Maar dat lijkt mij sowieso verstandig.
Het ligt eraan hoe goed de router tegen DNS-rebinding beschermd is; een enkel kwaadaardig iframe (bijvoorbeeld een advertentie) kan anders makkelijk een aanval uitvoeren op je router.

Je zult zelf je router extern beschikbaar moeten stellen, dat is meestal geen bijster goed idee. Voor remote access zou ik zelf aanraden een VPN-server op de router te draaien; de kwetsbare routers zouden een OpenVPN-server moeten ondersteunen (helaas geen Wireguard).
Ik snap dat je bedoelt of er wel of niet services draaien op de router zelf, maar de router zelf is natuurlijk per definitie van buitenaf beschikbaar, als het goed is zelfs het enige apparaat dat dat is. Er hoeft niet per se een service op te draaien op een exploit mogelijk te maken, als de router zelf iets verkeerd doet met een pakketje afhandelen dat naar een ander apparaat moet dan kan er nog van alles mogelijk worden.
Als je een DDNS opzet, dan kun je de router gewoon met een publiek IP adres benaderen.

Ik weet verder niet hoe deze exploit werkt, maar het is wel degelijk mogelijk om je router vanaf WAN te benaderen.
Ook als je geen DDNS opzet is de router met een publiek IP adres te benaderen. Of de router je toelaat iets te kunnen staat daar los van. Heeft ook niets met DDNS te maken.
Ai, mijn 86U draait op Merlin firmware. Die doet in ieder geval alvast geen auto update. Mag ik vanmiddag even uit gaan zoeken of die ook kwetsbaar is en of die überhaupt nog wordt bijgehouden door Merlin.
Releasenotes voor de 86U: https://www.asuswrt-merlin.net/node/14

De huidige release 386.11 van Merlin lijkt me kwetsbaar want deze is gebaseerd op GPL 386_50757 welke ouder is dan de hierboven genoemde 51915. Versie 386.12 (386_51997) is pas net gereleased (2 dagen op onedrive mirror en 15 minuten op sourceforge.
Wat ik me dan wel afvraag: volgens mij delen alle Asus-routers in elk geval grote delen van de software, dus zouden andere modellen niet ook kwetsbaar zijn?
Ligt denk ik ook aan de gebruikte chipset. Die heeft ASUS ook niet altijd onder controle. Bijvoorbeeld de AX53 is op basis van Mediatek terwijl de AX86 op basis is van Broadcom.
Anders gezegd: Gebruiken de andere asus routers dan niet de zelfde code-base? Van de avm-fritzboxen weet ik dat ze 1 code-base gebruiken waaruit de updates voor zo ongeveer alle routers wordt bijgehouden. Het is dat de builds voor specifieke routers natuurlijk wel is gebaseerd op de aanwezige hardware.
Mijn Asus Router ligt in de vuilnisbak. Liever geen router waar de fabrikant op afstand, zonder mijn toestemming, toegang tot heeft.
Dat heeft Asus helemaal niet. Automatische updates zijn in te stellen.
Dat werkt zeker, nu geen nieuwe installeren en je hebt de veiligste situatie en geen internet.
Wat heb je nu wel in gebruik? Wat is volgens jou een verbetering?
Fijn om te lezen. De mijne net geupgrade
Zijn 10 juli al gepubliceerd. Mijn 86u's staan op auto update en hebben deze ook weer vlekkeloos opgepakt.
De patches zijn van mei en Juni en nu is het pas nieuws?

Mijn routers zijn up to date, het zal dus wel los lopen.
Met andere woorden zo lek als een zeef, een gemakkelijk uit te buiten probleem. Dus als je geen security updates meer kan verkrijgen. Best weg doen...

Op dit item kan niet meer gereageerd worden.