ASUS ha lanzado una nueva actualización de firmware que soluciona las vulnerabilidades que afectan a siete modelos de enrutadores y que permiten a atacantes remotos iniciar sesión en los dispositivos.
La falla, identificada como CVE-2024-3080 (puntuación CVSS v3.1: 9,8 «Crítica»), es una vulnerabilidad de omisión de autenticación que permite a atacantes remotos no autenticados tomar el control de un dispositivo.
ASUS dice que el problema afecta a los siguientes modelos de enrutadores:
- XT8 (ZenWiFi AX XT8) – Sistema Mesh WiFi 6 que ofrece cobertura tribanda con velocidades de hasta 6600 Mbps, soporte AiMesh, AiProtection Pro, roaming fluido y control parental.
- XT8_V2 (ZenWiFi AX XT8 V2) – Versión actualizada de XT8, manteniendo características similares con mejoras de rendimiento y estabilidad.
- RT-AX88U – Enrutador WiFi 6 de doble banda con velocidades de hasta 6000 Mbps con 8 puertos LAN, AiProtection Pro y QoS adaptativo para juegos y streaming.
- RT-AX58U – Enrutador WiFi 6 de doble banda que ofrece hasta 3000 Mbps, con soporte AiMesh, AiProtection Pro y MU-MIMO para una conectividad multidispositivo eficiente.
- RT-AX57 – Un enrutador Wi-Fi 6 de doble banda diseñado para necesidades básicas, que ofrece hasta 3000 Mbps, con soporte AiMesh y controles parentales básicos.
- RT-AC86U – Enrutador WiFi 5 de doble banda con velocidad de hasta 2900 Mbps con AiProtection, QoS adaptativo y aceleración de juegos.
- RT-AC68U – Enrutador WiFi 5 de doble banda que ofrece hasta 1900 Mbps con soporte AiMesh, AiProtection y potentes controles parentales.
ASUS recomienda a las personas que actualicen sus dispositivos a las últimas versiones de firmware disponibles en sus portales de descarga (enlaces para cada modelo arriba). Las instrucciones para actualizar el firmware están disponibles en esta página de preguntas frecuentes.
Para aquellos que no pueden actualizar el firmware de inmediato, el vendedor recomienda asegurarse de que su cuenta y sus contraseñas de Wi-Fi sean seguras (más de 10 caracteres no consecutivos).
Además, se recomienda desactivar el acceso a Internet al panel de administración, el acceso remoto desde WAN, el reenvío de puertos, DDNS, el servidor VPN, DMZ y el activador de puertos.
Otra vulnerabilidad abordada en el mismo paquete es CVE-2024-3079, un problema de desbordamiento de búfer muy grave (7.2) que requiere acceso a una cuenta de administrador para poder explotarlo.
El CERT de Taiwán también notificó al público en una publicación ayer sobre CVE-2024-3912, una vulnerabilidad crítica (9.8) de carga de firmware arbitraria que permite a atacantes remotos no autenticados ejecutar comandos del sistema en un dispositivo.
Varios modelos de enrutadores ASUS se ven afectados por el error, pero no todos reciben actualizaciones de seguridad ya que han llegado al final de su vida útil (EoL).
La solución propuesta para el modelo afectado es:
- DSL-N17U, DSL-N55U_C1, DSL-N55U_D1, DSL-N66U: actualice a la versión de firmware 1.1.2.3_792 o posterior.
- DSL-N12U_C1, DSL-N12U_D1, DSL-N14U, DSL-N14U_B1: actualice a la versión de firmware 1.1.2.3_807 o posterior.
- DSL-N16, DSL-AC51, DSL-AC750, DSL-AC52U, DSL-AC55U, DSL-AC56U: actualice a la versión de firmware 1.1.2.3_999 o posterior.
- DSL-N10_C1, DSL-N10_D1, DSL-N10P_C1, DSL-N12E_C1, DSL-N16P, DSL-N16U, DSL-AC52, DSL-AC55: la fecha EoL está aquí, se recomienda reemplazo.
Descargar actualizaciones de seguridad maestras
Finalmente, ASUS anunció una actualización de Download Master, una utilidad en los enrutadores ASUS que permite a los usuarios administrar y descargar archivos directamente a una unidad flash USB conectada a través de torrent, HTTP o FTP.
La versión 3.1.0.114 recientemente lanzada de Download Master aborda cinco problemas de gravedad media a alta relacionados con la carga de archivos arbitrarios, la inyección de comandos del sistema operativo, el desbordamiento del búfer, el XSS reflejado y el XSS grabado.
Aunque ninguno de estos es tan crítico como CVE-2024-3080, se recomienda a los usuarios actualizar su utilidad a la versión 3.1.0.114 o posterior para una seguridad y protección óptimas.