Незалежний дослідник Девід Лонжнекер (David Longenecker) виявив дуже просту і дуже неприємну вразливість в маршрутизаторах компанії Asus, що працюють на базі прошивки ASUSWRT. «Завдяки» проблем в інтерфейсі, панель адміністратора доступна віддалено всім бажаючим.
За оцінками дослідника, проблема зачіпає близько 140 000 роутерів Asus. Велика їх частина «світить» адмінкой в інтернеті через HTTP, і ще близько 15 000 пристроїв доступні через HTTPS. Від бага страждають всі роутери, що працюють під управлінням прошивки ASUSWRT, тобто все, в назві яких присутні літери RT.
Баг, судячи з усього, є звичайною дрібною халатністю розробників. Зазвичай, щоб заборонити віддалений доступ до панелі адміністратора, в установках пристрою потрібно знайти опцію «Enable Web Access from WAN», і вибрати варіант «No». Однак роутери Asus поставляються з вбудованим брандмауером, для активації якого в налаштуваннях є пункт «Enable Firewall».
Лонжнекер виявив, що якщо вбудований фаєрвол відключити, вибравши «No», це з якоїсь причини скасовує також і заборона «Enable Web Access from WAN». Тобто, якщо користувач відключив брандмауер, вже не важливо, включена опція «Enable Web Access from WAN» чи ні. Вона відключається в будь-якому випадку.
Дослідник вже повідомив Asus про помилку, і компанія готує нову версію прошивки, що виправляє баг. А поки патч не вийшов, всім користувачам рекомендується перевірити, чи включений файервол на їх пристрої.
З технічними деталями звіту Лонжнекера можна ознайомитися тут.
Поділися новиною з друзями: