406/66 (IT) ประจำวันพฤหัสบดีที่ 7 กันยายน 2566
ช่องโหว่ระดับ critical จำนวน 3 รายการที่ส่งผลกระทบต่อ Router ASUS รุ่น RT-AX55, RT-AX56U_V2 และ RT-AC86U ที่อาจทำให้ผู้ไม่หวังดีสามารถใช้ประโยชน์จากอุปกรณ์ได้หากไม่ได้มีการอัปเดตความปลอดภัย โดย Router WiFi ทั้งสามรายการเป็นรุ่นระดับ high-end ยอดนิยม ซึ่งช่องโหว่ทั้งหมดมีคะแนน CVSS v3.1 อยู่ที่ 9.8 จาก 10.0 เป็นช่องโหว่ที่สามารถถูก exploit จากระยะไกลโดยไม่มีการตรวจสอบสิทธิ์และยังสามารถ Remote Code Execution (RCE)
ช่องโหว่ 3 รายการที่มีการเปิดเผยมีดังต่อไปนี้:
– CVE-2023-39238: Lack of proper verification of the input format string on the iperf-related API module ‘ser_iperf3_svr.cgi’.
– CVE-2023-39239: Lack of proper verification of the input format string in the API of the general setting function.
– CVE-2023-39240: Lack of proper verification of the input format string on the iperf-related API module ‘ser_iperf3_cli.cgi’.
ปัญหาดังกล่าวส่งผลกระทบต่อ ASUS RT-AX55, RT-AX56U_V2 และ RT-AC86U ในเฟิร์มแวร์เวอร์ชัน 3.0.0.4.386_50460, 3.0.0.4.386_50460 และ 3.0.0.4_386_51529
วิธีแก้ปัญหาทำได้ด้วยอัปเดตเฟิร์มแวร์ต่อไปนี้:
– RT-AX55: เวอร์ชัน 3.0.0.4.386_51948 หรือใหม่กว่า
– RT-AX56U_V2: วอร์ชัน 3.0.0.4.386_51948 หรือใหม่กว่า
– RT-AC86U: วอร์ชัน 3.0.0.4.386_51915 หรือใหม่กว่า
โดยที่ ASUS ได้เปิดตัวแก้ไขช่องโหว่ทั้งสามรายการตามลำดับดังนี้ในช่วงต้นเดือนสิงหาคม 2566 สำหรับ RT-AX55 เดือนกรกฎาคม 2566 สำหรับ RT-AC86U และเดือนพฤษภาคม 2566 สำหรับ AX56U_V2
แหล่งข่าว ( https://www.bleepingcomputer.com/news/security/asus-routers-vulnerable-to-critical-remote-code-execution-flaws/ )