ASUS brengt patches voor kritieke kwetsbaarheden in routers uit

ASUS heeft drie kritieke kwetsbaarheden in zijn routers gepatcht. Via een van de kwetsbaarheden konden kwaadwilligen van een afstand de authenticatie op de routers omzeilen. Sommige oudere modellen zullen geen patches meer ontvangen voor een bepaalde kwetsbaarheid.

ASUS schrijft op zijn website dat het beveiligingsupdates heeft uitgebracht voor kwetsbaarheden CVE-2024-3079 en CVE-2024-3080. De updates zijn beschikbaar voor de volgende wifirouters: ZenWifi XT8, ZenWifi XT8_V2, RT-AX88U, RT-AX58U, RT-AX57, RT-AC86U, RT-AC68U.

Kwetsbaarheid CVE-2024-3080 heeft een CVSS-score van 9.8 gekregen. Deze kwetsbaarheid laat kwaadwilligen toe om van een afstand de authenticatie op de ASUS-routers te omzeilen en op die manier in te loggen. CVE-2024-3079 heeft een CVSS-score van 7.2 gekregen. Deze kwetsbaarheid verwijst naar een bufferoverflowlek waarbij toegang tot het adminaccount nodig is. ASUS raadt klanten met de voornoemde routers aan om een firmware-update uit te voeren. Als dat niet mogelijk is, adviseert de fabrikant om sterke account- en wifiwachtwoorden te gebruiken en bepaalde netwerkfuncties van de routers uit te schakelen.

Het Taiwanese Computer Emergency Response Team, kortweg TWCERT, heeft ook melding gemaakt van CVE-2024-3912. Deze kwetsbaarheid heeft een CVSS-score van 9.8 meegekregen en maakt het mogelijk om van een afstand ongeautoriseerde systeemcommando’s uit te voeren, via arbitraire firmware. Kwetsbaarheid CVE-2024-3912 is aangetroffen in de volgende ASUS-apparaten: DSL-N17U, DSL-N55U_C1, DSL-N55U_D1, DSL-N66U, DSL-N12U_C1, DSL-N12U_D1, DSL-N14U, DSL-N14U_B1, DSL-N16, DSL-AC51, DSL-AC750, DSL-AC52U, DSL-AC55U en DSL-AC56U. Deze apparaten hebben ook een firmware-update ontvangen. De kwetsbaarheid is ook aangetroffen in DSL-N10_C1, DSL-N10_D1, DSL-N10P_C1, DSL-N12E_C1, DSL-N16P, DSL-N16U, DSL-AC52, DSL-AC55. Deze apparaten zijn echter end-of-life en zullen geen patch via een firmware-update meer ontvangen. De TWCERT raadt dan ook aan om deze toestellen te vervangen.

Reacties (75)

beany 16 juni 2024 13:16

De DSL-N16U wordt nog verkocht. Van de DSL-AC55 waren tot maart dit jaar nog prijzen bekend in de pricewatch(R).

Als Europa werk wil maken van veilige netwerkproducten (of producten die aan het internet verbonden worden), dan moet ze juist hiervoor regelgeving gaan maken. Een fabrikant die dergelijke producten in Europa verkoopt moet minimaal X aantal jaar na laatste verkoop ondersteuning/veiligheidspatches garanderen.

Als een fabrikant dat niet kan, of niet wil, dan verkoopt de fabrikant zijn spulletjes maar lekker ergens anders.

Overigens helpt dit ook het tegen gaan van de afvalberg.

Guru Evi @beany • 16 juni 2024 20:28

Of gewoon mensen zeggen om zoiets zoals OpenWRT te installeren. Routers kunnen gemakkelijk 10-20 jaar lang meegaan, al die toestellen die Asus niet meer ondersteunt kunnen redelijk makkelijk naar OpenWRT, daar is geen wetgeving voor nodig.

Asus gebruikt ook zelf een skinned OpenWRT en/of Linux, de klant kan gewoon de bestaande GPL afdwingen.

[Reactie gewijzigd door Guru Evi op 22 juli 2024 14:50]

terradrone

@Guru Evi • 17 juni 2024 17:57

Da's iets te makkelijk gezegd: voor veel routers, zeker die met een dsl modem ingebouwd, bestaat geen opensource firmware, simpelweg omdat de fabrikant vd gebruikte soc, of het modem niet meewerkt aan opensource software, en dus geen sources vrijgeeft om dit mogelijk te maken.

Zo zijn er tal van voorbeelden van soc's die niet door bijv openwrt ondersteund worden, zoals de wifi6/wifi7 broadcom soc's, quantenna producten, maar ook de meer recentere qualcomm soc's worden niet of slecht ondersteund. Een factor die hierin meespeelt is dat steeds meer wireless functionaliteit word geëmuleert door softradio achtige technologie, en dat men de firmware waarin deze radio functionaliteit zich bevind, niet graag vrijgeeft.

Ook firmware van dsl modems bevat vaak proprietaire code die men, oa wegens vrees voor verlies van intellectueel eigendom, niet graag publiceert. Dus opensource firmware is een mooi iets, maar lang niet altijd haalbaar.

Daarbij gaat men een stapje verder bij openwrt, waar ze, al bestaan er binary blobs van fabrikanten die vrijgegeven worden om te gebruiken, geen closed source bronnen voor de distro gebruiken.

Zo heeft de qualcomm ipq8064 twee "gewone" cpu kernen en twee NSS cores (network cores). Die laatste worden alleen ondersteund in custom openwrt builds, omdat er geen opensource drivers voor bestaan en openwrt ze daarom niet per default ondersteund. Dus gebruik je een standaard openwrt versie voor een bepaald apparaat, dan kan het zomaar zijn dat niet alle hardware bouwstenen ervan ondersteund worden en je met custom builds aan de gang moet.

Guru Evi @terradrone • 17 juni 2024 20:58

OpenWRT is gebaseerd op Linux dus GPL zorgt dat je geen custom ondersteuning mag inbakken zonder de bron vrij te geven. Qualcomm moet in principe de bron vrijgeven of de module apart zetten en dat zorgt dus dat je de module binary kan kopiëren (zoals de nVIDIA module los moet staan van de kernel interface die wel open is)

Misschien moet de EU maar eens achter Samsung, Qualcomm en een reeks binnen en buitenlandse bedrijven die de GPL overtreden.

[Reactie gewijzigd door Guru Evi op 22 juli 2024 14:50]

terradrone

@Guru Evi • 18 juni 2024 00:11

Het is sinds jaar en dag een bekend gegeven dat er een heel scala aan bedrijven zijn die gpl regels aan hun laars lappen. Maar wat wil je er aan doen? Al zou je het voor laten komen: als particulier met een enkele advocaat (zou je al daartoe besluiten, gezien dit heel kostbaar wordt) kom je in de rechtzaal tegenover een heel leger juristen te staan. En dan zijn veel "overtreders" niet eens in europa gevestigd. Er zijn in het verleden al zoveel pogingen gedaan om sources vrij te geven, zo ook bij bijvoorbeeld rockchip. Die vegen zo ongeveer hun reet af met zo'n verzoek.

En dan is het nog nieteens gezegd dat alle code onder gpl valt. Zo is dit bijvoorbeeld niet het geval bij de veelgebruikte ath10k firmware. Ik heb al uitgelegd waarom firmware een heet hangijzer kan zijn en dat men deze niet zomaar vrijgeeft. Het is dan ook bijzonder dat candelatech mbv een NDA toegang heeft gekregen tot de ath10k firmware source om deze verder te optimaliseren.

Op een soortgelijke manier heeft men bij DDWRT jarenlang toegang gekregen tot broadcom sources, maar daar lijkt inmiddels een einde aan te zijn gekomen.

[Reactie gewijzigd door terradrone op 22 juli 2024 14:50]

Guru Evi @terradrone • 18 juni 2024 02:19

De originele post was een vraag voor meer wetgeving terwijl zoals je zelf zegt, de huidige wetgeving al overtreden wordt. Denk je echt dat de Chinezen een reet geven over wetgeving binnen de EU want binnen de EU gebeurt er momenteel 0,0 ontwikkeling voor dit soort hardware.

terradrone

@Guru Evi • 18 juni 2024 17:32

Denk je echt dat de Chinezen een reet geven over wetgeving binnen de EU want binnen de EU gebeurt er momenteel 0,0 ontwikkeling voor dit soort hardware.

Het antwoord op je vraag valt te lezen in mijn reactie. Beetje redundant dit.

Er zijn in het verleden al zoveel pogingen gedaan om sources vrij te geven, zo ook bij bijvoorbeeld rockchip. Die vegen zo ongeveer hun reet af met zo'n verzoek.

Nimja @beany • 16 juni 2024 23:05

Een mogelijke optie is zelf https://openwrt.org/ op je/de router installeren.

Die maken wel updates, ook voor oudere modellen.

Brupje @beany • 16 juni 2024 14:28

Vanuit consumentenrecht zou je zeker op een product dat recent nog verkocht werd kunnen proberen het te laten repareren of ruilen bij het verkooppunt.

Taxcommunism @Brupje • 16 juni 2024 14:44

Ik kan je garanderen dat 95% van de consumenten dit niet eens wist dan wel
Dit te weten komt.

Kevinp @Taxcommunism • 16 juni 2024 19:01

Precies, als jij wil dat mensen dit weten dan ga je ver in privacy schendende maatregelen. Je zal bv verplicht moeten registeren.

Mogelijk kan het anders dat bedrijven minstens bv 5 jaar voor bepaalde producten de gegevens bewaard. Waarna je dus actief contact kan opnemen.

Andere opties zouden zijn om bepaalde protocollen te maken/verplichten waarmee mensen informatie kunnen krijgen.

PolkaDanser @Kevinp • 16 juni 2024 20:39

Precies, als jij wil dat mensen dit weten dan ga je ver in privacy schendende maatregelen. Je zal bv verplicht moeten registeren.

Niet echt, je zou een modem op een site kunnen laten kijken of er update is. Device met een simpel protocol of een site kijken of er een update is en als die bestaat de eigenaar waarschuwen via mail, op te geven in de device zelf, of de eerst volgende keer een eigenaar inlogt. Daarvoor hoef geen privacy te schenden.

Kevinp @PolkaDanser • 17 juni 2024 07:31

Hoe kom je aan dat e-mail adres?

Mensen gaan echt niet naar die site toe.

PolkaDanser @Kevinp • 21 juni 2024 11:31

Je hoeft naar geen enkele site. Het modem kan zelf op die site kijken en daarvoor een default URL gebruiken. Daarnaast zou bij installatie een email adres opgegeven kunnen worden waar notificaties naartoe moeten worden gestuurd. Mijn Fritz!Box doet dit al jaren zo...

Brupje @Taxcommunism • 17 juni 2024 11:41

Als je je rechten niet kent is dat je eigen schuld. Dit komt zeker aan de orde op school.

Memori @beany • 16 juni 2024 15:37

Dan praat je over routers uit 2014 en 2017 die nu al niet meer ondersteund worden terwijl dat wel prima zou kunnen. Bij een router denk ik aan een ding dat je een keer koopt en dan de komende 15-20 jaar niet meer. Maar elke keer brand ik mijn vingers weer aan een product van Netgear of TP-Link dat uiteindelijk de ondersteuning stopt (Archer A7 dat prima I-TV van KPN aankan maar de software daar niet goed voor is).

Ik ga niet wachten op wetgeving vanuit de EU. Mijn komende router wordt Microtik/RouterOS of een Opnsense zonder WIFI, en dan een WIFI AP apart, aangezien ontwikkeling van WIFI als een tierelier gaat.

SVMartin @Memori • 16 juni 2024 16:28

Precies dat. Ik heb naast de firewall/router met opnsense gekozen voor hp Aruba instant-on access points in de hoop dat die langer ondersteund blijven. En wanneer support wegvalt dan zal het risico lager zijn: zit niet direct aan het internet, gebruikers zitten in een vlan dat geen toegang geeft tot de admin interface. We wachten af, maar vervanging zal wanneer nodig eenvoudiger zijn.

Commendatore

@SVMartin • 16 juni 2024 20:54

Naar wat ik begrijp garanderen ze vijf jaar ondersteuning na het stoppen van de verkoop van de bewuste hardware. Daarnaast deelt Instant On technisch heel veel met het Aruba enterprise-spul en wordt er behoorlijk actief aan gewerkt. Dat zit dus wel snor. (Ik gebruik zelf een AP25 en die bevalt heel erg goed.)

Het qua doelgroep ietwat vergelijkbare Meraki GO is trouwens wel geflopt, maar daar lijkt Cisco Meraki ook nooit veel energie in te hebben gestoken.

Melones @Memori • 16 juni 2024 15:54

klinkt als een goed idee wat je daar schrijft. Meestal wil je de AP ergens in de woonkamer zetten ipv in de gang, dus splitten is altijd een goed idee als je meer kennis/interesse dan niets hebt. overigens kan je veel tp-link apparaten (met wat moeite) flashen naar openWRT en dan krijg je die functies er wel bij.

Jordy R. @Memori • 16 juni 2024 17:53

Ik zou zeker voor een MikroTik gaan.
Mijn ervaring hiermee is zowel zakelijk als privé zeer goed. Zeer goede hardware voor prijs en ook lange hardware support. Meeste hardware is nu ARM64 based en kan zelfs docker (RouterOS v7)

Enige nadeel is dat het in het begin vanaf een ander merk vrij erg wennen is. Enorm veel mogelijkheden en nagenoeg geen standaard config (zeker op duurdere reeksen).

Aangezien ik MikroTik vrij veel gebruik heb ik ook mijn certificaten hiervoor behaald.

Mocht je willen sparren over MikroTik kan je me altijd een DM sturen.

Zezura @Memori • 16 juni 2024 19:52

Ik gebruik UniFi ecosysteem en ben er ook erg tevreden over. Gebruik zelfs dubbel NAT wat goed werk in combinatie met no-ip en VPN.

Kevinp @Memori • 17 juni 2024 07:32

5 jaar na laatste verkoop en 15 jaar na eerste verkoop kan ook. Dan kom je in mijn ogen dichterbij een nuttige ondersteuning. Maar dat zal niet voor iedereen gelden.

Maurits van Baerle @beany • 16 juni 2024 14:59

Als Europa werk wil maken van veilige netwerkproducten (of producten die aan het internet verbonden worden), dan moet ze juist hiervoor regelgeving gaan maken. Een fabrikant die dergelijke producten in Europa verkoopt moet minimaal X aantal jaar na laatste verkoop ondersteuning/veiligheidspatches garanderen.

Daar wordt al druk aan gewerkt als onderdeel van de EU Cyber Resilience Act:

The Cyber Resilience Act (CRA) aims to safeguard consumers and businesses buying or using products or software with a digital component. The Act would see inadequate security features become a thing of the past with the introduction of mandatory cybersecurity requirements for manufacturers and retailers of such products, with this protection extending throughout the product lifecycle.

Z80 @beany • 16 juni 2024 16:46

wie verkopen deze routers?
asus zelf? een officiële importeur?
of is het nog oude vooraad die nog op de markt gebracht wordt?
indien dat laatste kan asus er niets aan doen.

hottestbrain

@Z80 • 17 juni 2024 10:38

U heeft volledig gelijk. In mijn optiek moeten winkeliers verantwoordelijk worden gehouden voor wat ze verkopen. Net zoals met garantie, waarbij het opwaards door de supply chain werkt. Als die winkeliers RMA's krijgen wegens EOL dan kopen ze dat merk simpelweg niet meer in, wat zorgt voor een situatie waarin de klant lange support heeft en merken die dat niet leveren simpelweg niet kunnen voortbestaan.

Zer0 @beany • 16 juni 2024 19:18

Een fabrikant die dergelijke producten in Europa verkoopt moet minimaal X aantal jaar na laatste verkoop ondersteuning/veiligheidspatches garanderen.

Probleem is dat de fabrikant vaak niet de uiteindelijke verkoper is. Winkels/groothandels kunnen overjarige stock verkopen terwijl de fabrikant die al als end-of-life bestempeld heeft.

oks

@beany • 16 juni 2024 19:19

Helemaal eens.

William_H @beany • 16 juni 2024 22:11

Kan op de AC55 geen OpenWRT gedraaid worden?

Prosperot 16 juni 2024 22:30

Het was handig geweest als het artikel ook de versienummers had genoemd:
Update ZenWiFi XT8 to 3.0.0.4.388_24621 (inclusive) and later versions
Update ZenWiFi XT8 V2 to 3.0.0.4.388_24621 (inclusive) and later versions
Update RT-AX88U to 3.0.0.4.388_24209 (inclusive) and later versions
Update RT-AX58U to 3.0 .0.4.388_24762 (inclusive) and later versions
update RT-AX57 to 3.0.0.4.386_52303 (inclusive) and later versions
update RT-AC86U to 3.0.0.4.386_51925 (inclusive) and later versions
update RT-AC68U to 3.0.0.4.386_51685 ( (including) later versions

CrazyJoe @Prosperot • 17 juni 2024 09:56

Ik heb de release notes van de nieuwste firmware voor mijn ASUS RT-AX68S bekeken (van 2024/05/13) en daar worden de CVE-2024-3079 en CVE-2024-3080 issues ook als gefixed aangemerkt. Er zijn dus meer routers waarvoor updates uitgerold zijn dan diegenen die hier genoemd worden (de firmware is ook voor de RT-AX68U, dus die is ook gepatched).

Issue CVE-2024-3912 wordt niet genoemd, dus het kan zijn dat daarvoor weer een nieuwe firmware nodig is, of dat dit issue niet van toepassing is op deze router(s).

Commander Zulu @CrazyJoe • 17 juni 2024 16:42

Voor mijn RT-AC68U geldt hetzelfde. Als je de auto-update firmware optie aan zet, dan zijn je home routers al gepatcht.

copywizard 16 juni 2024 13:16

Ik draai Merlin op mijn rt-ax86u pro (die staat er zo snel niet bij zie ik) maar als ik auto update doe dan gaat die terug naar de Asus firmware.

Hoelang duurt het normaliter voor de ontwikkelaars van de Merlin firmware om dit soort dingen te patchen?

Maar netjes dat Asus die fixed en dan weer jammer dat zo te zien wat oudere apparaten weer worden gezien als e-waste terwijl deze met een custom firmware misschien nog wel bruikbaar kunnen zijn?

Klaus_1250 @copywizard • 16 juni 2024 17:38

De RT-AX86U Pro zit al op de volgende branch 3.0.0.6.102 (ASUSWRT 5), de vulnerability zit in de oude 388 en 386 branches (ASUSWRT 4 en eerder).

Merlin heeft de patches volgens mij al een paar maanden in 388 en 386.
AsusWRT 5 is nog een WIP bij Merlin.

Het fixen van Asus is niet zozeer netjes maar meer een verplichting. In de EU kan je je apparatuur gewoon bij de verkoper inleveren en je geld terugvragen als de fabrikant dit niet oplost. Na aankoop heb je recht op software updates (voor een bepaalde periode).

PhilipsFan @Klaus_1250 • 16 juni 2024 19:00

Ik kan dit nog niet echt vinden voor mijn oude RT-AC68U. Daarop heb ik nu Merlin 386.13 draaien van 2024-04-07, maar in de readme staat nog niks over CVE-3080. De router geeft wel aan dat dit de meest recente firmware is...

knakworst @PhilipsFan • 16 juni 2024 21:16

https://www.asus.com/netw...k_bios?model2Name=RTAC68U

Was allang in april meegenomen. Raar bericht.

copywizard @Klaus_1250 • 16 juni 2024 18:33

Ik zit nog op de 3004.388 firmware ik zie zo snel geen 3006? Maar zal morgen eens beter zoeken thanks voor de info

Klaus_1250 @copywizard • 17 juni 2024 09:32

https://www.snbforums.com...2_34313-2024-05-28.90348/

copywizard @Klaus_1250 • 17 juni 2024 13:15

Thanks!

-MD-

@copywizard • 16 juni 2024 13:29

Merlin firmware heeft een heel ander ontwikkeltraject. Die vulnerabilities zijn enige tijd geleden al opgelost. Veel discussie over te vinden op de betreffende fora. Bijvoorbeeld:
https://www.snbforums.com...ng-merlin-firmware.90598/

TLDR: geen issue (meer) voor Merlin als je regelmatig updates uitvoert natuurlijk.

CriticalHit_NL

ASUS

@-MD- • 16 juni 2024 14:28

Volgens mij kan je Merlin ook enkel draaien op de Routers die verkocht worden met een Broadcom chipset toch? Dus eventuele Asus routers die geen Broadcom hanteren vallen dan een beetje buiten de boot.

XpanD 16 juni 2024 13:24

Is deze fout ook bruikbaar van buitenaf, of moet je al in het netwerk zitten? (ervan uitgaande dat Web Access from WAN/Remote Connection uitstaat)

wildhagen

Bugs
Beveiliging
Beveiliging en antivirus

@XpanD • 16 juni 2024 13:28

In ieder geval 2 van de 3 lekken zijn ook vanaf buiten te exploiten, volgens het gelinkte artikel van ASUS:

ASUS addresses a critical remote authentication bypass vulnerability, tracked as CVE-2024-3080 (CVSS v3.1 score: 9.8), impacting seven router models.

The flaw is an authentication bypass issue that a remote attacker can exploit to log into the device without authentication.

[...]

The vendor also addressed a critical upload arbitrary firmware flaw, tracked as CVE-2024-3912 (CVSS score 9.8) impacting multiple devices. An unauthenticated, remote attacker can exploit the flaw to execute system commands on the vulnerable device.

Van de derde bug kan ik niet vinden of die remote exploitable is.

Een CVSS score van 9.8 is overigens wel extreem hoog, dus dit betreft wel een extreem hoog risico op exploits dus... hopelijk patched iedereen dit z.s.m.

R4gnax @wildhagen • 16 juni 2024 17:15

Dan is alsnog de vraag onder welke omstandigheden een 'remote attacker' dat zou kunnen.
Standaard staat de mogelijkheid om op de admin-interface in te loggen vanuit de WAN zijde geloof ik, zeker op oudere modellen, nog aan. Dus dan zal zo'n CVE waarschijnlijk ook van de standaard settings uit gaan.

Het ontbreekt hier gewoon aan extra informatie.

[Reactie gewijzigd door R4gnax op 22 juli 2024 14:50]

Nephtys @XpanD • 16 juni 2024 15:55

Ik zou Darknet Diaries afl. 5 #ASUSGATE eens luisteren.

de Rochebrune @Nephtys • 16 juni 2024 17:22

https://darknetdiaries.com/transcript/5/

CAPSLOCK2000

Beveiliging en antivirus

@XpanD • 16 juni 2024 13:27

Dat heeft Asus niet gezegd, er is geen inhoudelijk informatie gepubliceerd, maar gezien de score van 9.8 zou ik maar van het ergste uitgaan.

CAPSLOCK2000

Beveiliging en antivirus

16 juni 2024 13:16

ASUS raadt klanten met de voornoemde routers aan om een firmware-update uit te voeren. Als dat niet mogelijk is, adviseert de fabrikant om sterke account- en wifi-wachtwoorden te gebruiken en bepaalde netwerkfuncties van de routers uit te schakelen.

Helpt dat dan? Tijd dat fabrikanten stoppen met allemaal hun eigen OS te maken. Onder de motorkap is het allemaal Linux en front-ends die ze schrijven kunnen allemaal ongeveer hetzelfde.
Beter zouden ze samenwerken aan een gedeeld OS als OpenWRT. Sterker nog Asus is daar ooit aan begonnen maar is steeds meer gaan aanpassen en afwijken waardoor ze er steeds meer alleen voorstaan met dit soort pijnlijke bugs als gevolg.

[Reactie gewijzigd door CAPSLOCK2000 op 22 juli 2024 14:50]

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@CAPSLOCK2000 • 16 juni 2024 18:07

Yes, alle routers dezelfde features maar ook dezelfde kwetsbaarheden en daarmee een potentieel nog veel groter probleem wanneer er een lek wordt gevonden. Aan jouw voorstel kleeft ook een nadeel.

[Reactie gewijzigd door Bor op 22 juli 2024 14:50]

CAPSLOCK2000

Beveiliging en antivirus

@Bor • 16 juni 2024 19:38

Goed punt, dat is ook weer niet de bedoeling. Ik zou willen dat de BSD's en andere open OS'en wat populairder waren. Alleen maar Linux is ook niet goed. Toch zou ik willen dat ze meer samenwerken ipv ieder z'n eigen fork.
Wat dat betreft vind ik de samenwerking van Qualcomm en Ubuntu rond de nieuwe Snapdragon wel goed. In plaats van zelf iets nieuws te beginnen sluiten ze aan bij een bestaande distributie.

Guru Evi @CAPSLOCK2000 • 16 juni 2024 20:33

Asus draait AsusWRT, een geskinnede versie van OpenWRT. Maar iemand moet de builds onderhouden voor de volgende 20 jaar en pakketten backporten.

achondar 16 juni 2024 13:32

Vreemd dat ze nu pas dan die blogpost doen om dit te communiceren voor de CVE-2024-3079 en CVE-2024-3080.
bv de RT-AC86U heeft die patch meer dan 2 maand geleden al gekregen.
https://www.asus.com/supportonly/rt-ac68u/helpdesk_bios/

n00bs 16 juni 2024 14:35

Merkwaardig de DSL-AC68U staat er niet tussen...

edterbak 16 juni 2024 14:54

Het uitbrengen van een patch heeft 2 gezichten.
1- Je dicht een security patch. Je maakt het netwerk van de gebruiker veiliger.
2- je maakt alle details wereldkundig van de kwetsbaarheid.

Misschien dat 25% van de gebruikers direct patches of updates direct doorvoeren. Maar dat is hoog ingeschat voor consumenten electronica. Gemiddelde gebruiker kijkt niet meer om naar de router.

Indirect betekent dat dat je de sleutels uitdeelt aan kwaadwillende voor de overige 75%. Er zijn hackers met de dagtaak om uitgebrachte patches volledig uit te pluizen of ze er wat mee kunnen bereiken...

Microsoft bijvoorbeeld had hier in het bijzonder veel last van met de EternalBlue kwetsbaarheid. Het gevolg was de uitbraak van wannacry randsomeware in 2017.

Wikipedia: WannaCry ransomware attack

Het direct uitbrengen van een patch is dus zeker niet en nobrainer.

Edit, toevoeging
Een blogpost 2 maanden later is waarschijnlijk omdat het ernstig is en bewustwording willen vergroten onder de gebruikers.

[Reactie gewijzigd door edterbak op 22 juli 2024 14:50]

Klaus_1250 @edterbak • 16 juni 2024 17:41

Misschien dat 25% van de gebruikers direct patches of updates direct doorvoeren. Maar dat is hoog ingeschat voor consumenten electronica. Gemiddelde gebruiker kijkt niet meer om naar de router.

Asus heeft ook een optie om firmware naar routers te pushen. Zelfs indien ze daar geen toestemming voor geven, kunnen ze het nog steeds indien ze een kwetsbaarheid als zeer kritiek zien.
De de nieuwe firmware's is dit heel duidelijk en specifiek aangegeven.

Dit kwam een tijdje geleden aan het licht toen een gepushde firmware update voor nogal wat problemen zorgde.

m_snel @Klaus_1250 • 17 juni 2024 01:24

Zo lang je het goed doet niks mis mee. Ik zie wel voordelen in een dienst die niet alleen iets levert maar ook daarna ondersteuning geeft.

Cave_Boy 16 juni 2024 16:20

Ik heb zelf de RT AX88U. Volgens de tekst heeft deze een update. De automatische update vind niks en ook op de website zie ik geen nieuwere versie?

https://www.asus.com/netw..._bios?model2Name=RT-AX88U

badillus @Cave_Boy • 16 juni 2024 17:44

die heb ik ook, maar staat volgens mij ook niet in de tekst.
Maar eerlijk gezegd had ik die ook verwacht in dat lijstje.

Cave_Boy @badillus • 16 juni 2024 17:48

De updates zijn beschikbaar voor de volgende wifi-routers: ZenWifi XT8, ZenWifi XT8_V2, RT-AX88U, RT-AX58U, RT-AX57, RT-AC86U, RT-AC68U.

badillus @Cave_Boy • 17 juni 2024 09:49

sorry, mijn fout ik heb de RT-AC88U, en die staat niet in het lijstje.

wezzley @Cave_Boy • 16 juni 2024 18:17

Ja, het artikel is niet geheel duidelijk. dit is volgens asus de nieuwste niet-beta firmware:

ASUS RT-AX88U Firmware version 3.0.0.4.388_24209
Version 3.0.0.4.388_24209
67.79 MB
uitekomen op... 2024/03/29

in die update, van eind maar zit oa: - Fixed CVE-2024-3079 and CVE-2024-3080. Thanks to the contribution of swing from Chaitin Security Research Lab.

beetje onduidelijk uit het verhaal van tweakers dat dit dus al maanden gepatched is.

Cave_Boy @wezzley • 17 juni 2024 04:52

Aah twijfelde al of dit het was.

Vinnie.1234 @wezzley • 17 juni 2024 10:54

Dankje voor de duidelijkheid. Zat al te zoeken of ik ergens een geforceerde search moest doen van de nieuwe firmware.

Artikel had wel even duidelijk mogen maken dat deze update er al maanden is. En had eigenlijk toen graag dit bericht gelezen. Router updates zijn niet mijn sterkste punt en die stel ik vaak wel een tijdje uit tot ik er zin/tijd voor heb ze te doen.

riOwnage 16 juni 2024 17:03

Hoe dan? Staan er poorten naar buiten open?

Op dit item kan niet meer gereageerd worden.

ASUS brengt patches voor kritieke kwetsbaarheden in routers uit

Lees meer

Reacties (75)

Sorteer op:

Weergave: