Υπηρεσία που εκτελείται σε routers της ASUS, με δικαιώματα root μπορεί να αξιοποιηθεί για την εκτέλεση εντολών χωρίς έλεγχο ταυτότητας από εισβολέα στο δίκτυο, παρέχοντας του πρόσβαση στη ρύθμιση παραμέτρων της συσκευής.
Ο κώδικας για εκμετάλλευση του λάθους ασφαλείας υπάρχει ήδη, αλλά η ASUS δεν έχει ακόμη κυκλοφορήσει ενημερωμένο firmware για ενημέρωση.
Ο ερευνητής ασφαλείας, Joshua Drake, βρήκε το πρόβλημα, λίγους μήνες νωρίτερα το προηγούμενο έτος, ενώ εργαζόταν σε ένα ASUS RT-N66U router. Ανακάλυψε ότι η υπηρεσία “infosvr” βλέπει τη θύρα UDP 9999 σε LAN (τοπικό δίκτυο) και μπορεί να χρησιμοποιηθεί από έναν εισβολέα, με ανεξακρίβωτη ταυτότητα ώστε να εκτελέσει τις εντολές που θέλει.
Η υπηρεσία χρησιμοποιείται σε routers της ASUS, ώστε να διευκολυνθεί η διαμόρφωση της συσκευής όταν και άλλοι δρομολογητές είναι διαθέσιμα στο δίκτυο (repeaters, access points, media bridges) και πρέπει να βρεθούν.
Μη εξουσιοδοτημένη πρόσβαση στο μενού διαχείρισης, έχει σοβαρές επιπτώσεις για τους χρήστες του δικτύου, δεδομένου ότι οι ρυθμίσεις μπορεί να μεταβληθούν με τέτοιο τρόπο ώστε αυτές να ανακατευθύνονται σε κακόβουλες ιστοσελίδες για download κακόβουλου λογισμικού και να θέσει σε κίνδυνο τον υπολογιστή.
Σύμφωνα με τον Drake, “όλες τις εκδόσεις με firmware για τους routers (RT-AC66U, RT-N66U, κ.λπ.) θεωρούνται ως ευάλωτες”. Το μοντέλο RT-AC87U με το τελευταίο firmware που κυκλοφόρησε στις 31 Δεκεμβρίου 2014, είναι επίσης ευάλωτο.
Εάν οι χρήστες βασίζονται στην default έκδοση του firmware που έχουν θα πρέπει να περιμένουν για ενημέρωση. Eκείνοι όμως που τρέχουν την προσαρμοσμένη έκδοση, που κυκλοφόρησε από τον Eric Sauvageau (RMerlin), έχουν την επιλογή να διορθώσουν κάπως το πρόβλημα μέχρι να βγει η επίσημη ενημέρωση από την ASUS.
Είναι σημαντικό να σημειωθεί είναι ότι αν και το πρόβλημα είναι σοβαρό, δεν μπορεί να ο εισβολέας θα πρέπει να είναι ήδη συνδεδεμένος στο δίκτυο, ώστε να κάνει ζημιά στον υπολογιστή. Εάν ο ιδιοκτήτης, του δικτύου, εμπιστεύεται πλήρως τα άτομα που ενώνει στο δίκτυο του, τότε δεν υπάρχει άμεσος κίνδυνος.
