Kritisk sårbarhet upptäckt i Asus-routrar

3.0.0.4.388.235xx nånting vill jag minnas. är på jobbet nu så kan inte kolla exakta versionen

Antar det här mest gäller nyare routrar.

Haft en Asus Router ifrån 2015 som fortfarande fungerar perfekt, aldrig haft problem med den hittills. ASUS RT-AC68U.

25 funkar bra liksom så klart 11.

Var inte detta på tapeten för några år sedan(5+)?
Att någon lyckats skapa en bitcoin mining-farm av gamla routrar?
Inte mycket beräkningskraft i en router, men om du har tillgång till tusentals.

Undrar om nån programmerat och kört doom via en av routrarna då, om den nu skulle kunna klara av att köra det!

Uppdaterade till version 3.0.0.4.388.23285 daterad 2023-05-15 på Asus XT8 (fortfarande senaste) tidigt i juni men har automatiska uppdateringar urkryssat. Med en så funktionell router som XT8 (plus 2 RT-AC86U som mesh-noder) loggar man gärna in och kikar på den ibland - hur många gig har den lyckats överföra nu liksom

Med OpenVPN och DDNS inbyggda i routern är det enkelt att *säkert* koppla upp sig utifrån mot både routern och hemmanätverket - och naturligtvis har man övriga WAN-vägar nedstängda, särskilt fjärråtkomst till routern.

11 är det enda rätta!

Stör mig som fan på lilla TVn i sovrummet volym 5 är perfekt för går man till 6 så boostar den fan nog 30 % känns de som då är det precis för högt.... skyller på dålig TV billig skit med

Bra finding, tack för att du delar.

"Användare kan också välja att begränsa tillgången för Wide Area Network (WAN) tills dess att routern har kunnat säkras." Dvs, dra ut internet-kabeln från routern Kan hålla med om att det borde vara en rätt säker strategi.

Med det sagt. Har en äldre ASUS router själv... GT-AC5300. Ser inte att denna är med på listan, och ser också att det inte kommit något nytt firmware sedan mars-2022. Innebär det i praktiken att man skall slänga denna i soporna och springa och köpa en ny router? (givet att man inte har lust att krångla med custom-firmware osv). Borde i så fall vara väldigt tydliga "bäst före datum" på denna typ av (relativt hemanvändning) säkerhets-kritiska hårdvara kan man tycka.

Nej, de menar att begränsa vilka tjänster man kan nå via WAN:

Jag försökte vara rolig. Jag misslyckades
Någon som vet hur/om man kan konstatera om en Asus router nått EOL? (Man tycker ju att man borde någon form av notifiering i själva routern). Hittade en lista på https://www.asus.com/event/network/EOL-product/ men väldigt svårt att veta hur up-to-date denna är. Min router, som inte fått en uppdatering på över ett år, är inte med.
Inte kan man väl, som kund, förväntas kontakta ASUS för att få veta om det kommer framtida säkerhetsuppdateringar till en viss router. Och hur ofta skall man göra det i så fall? Orimligt.

https://nvd.nist.gov/vuln/detail/CVE-2022-26376 Verkar inte vara med i några release notes från AsusWrt förrän nu i Juni. Vad AsusWrt och Merlin har gjort innan dess orkar jag inte sätta mig in i.

Denna ser rätt illa ut eftersom den drabbar webbservern i routern.

En webbsida ute på internet kan antagligen trigga att användarens webbläsare gör ett anrop till routern (routern har ju ett standardiserat namn/IP-adress som oftast används). En vanlig länk till en bild med till exempel %0 i URL:en tycks trigga buggen.

Som jag tyder informationen är man alltså sårbar om man råkar surfa till fel ställe, till exempel till en köpt annons med elak payload.

Huh? Observera att Merlin ofta har sina egna fixar, en av anledningarna till att jag alltid kör med hans firmware på Asus routrar.

Det står ju klart och tydligt även på sidan du länkar till:

"A memory corruption vulnerability exists in the httpd unescape functionality of Asuswrt prior to 3.0.0.4.386_48706 and Asuswrt-Merlin New Gen prior to 386.7"

Merlin 386.7 släpptes som sagt för ett år sedan, den är nu på 386.11:
https://www.asuswrt-merlin.net/node/14

I den loggen står detta under 386.7:
"- FIXED: CVE-2022-26376 (reported by Cisco Talos, fixed by Asus)"

Kan ju vara så att Asus själva missat att skriva detta i deras changelogg?

Men visst var sårbarheten illa om man inte bryr sig om att uppdatera.

Jag har dåliga nyheter. Med konsument-routrar sitter man i en rätt dålig sits om tillverkaren slutar uppdatera firmware, vilket de ofta gör väldigt tidigt. Med custom firmware kan man förlita sig på att få uppdateringar över längre tid, men då sitter man i skiten på ett annat sätt. Då är man själv ansvarig för att uppdatera sin firmware, men det är inte alltid enkelt. Själv kör jag OpenWRT, och kör man inte vanilla OpenWRT kan det vara rätt trixigt att uppdatera. Själv bygger jag min firmware från källkod för att det är det enda sättet att vara säker på jag får med mig all konfiguration vid uppdateringar. Har man inte kunskapen att göra detta kan man ställa till det för sig själv, om man inte kör vanilla OpenWRT. Detta kan dock vara lättare med andra öppna firmware, det har jag ingen koll på.

Bra att detta uppmärksammas, men det tycks som att RMerlin-versionen jag sitter på, 386.7.2 , är patchad.

Nyare firmware sägs vara lite krångligare att uppdatera till då de äter upp för mycket RAM eller lagring i vissa fall om man har vissa inställningar = man bör göra total reset innan man lägger in nyaste firmware = krångligt = "jag chansar". (gäller om man kör custom firmware och diverse tillägg antar jag, inte om man kör ASUS original; jag har dock annan DNS för barnens SSID etc osv så vill köra custom firmware)