Een beveiligingsonderzoeker heeft gisterenavond een lek in verschillende routers van fabrikant Asus onthuld waardoor een lokale aanvaller het apparaat volledig kan overnemen en waarvoor nog geen beveiligingsupdate beschikbaar is. De kwetsbaarheid wordt veroorzaakt door een dienst genaamd infosvr die op UDP-poort 9999 op de LAN-interface luistert.
De dienst wordt door een tool van Asus gebruikt en moet het makkelijker maken om de router in te stellen door automatisch naar routers op het lokale subnet te zoeken. Infosvr blijkt echter het MAC-adres van een verzoek niet goed te controleren. Daardoor kan een aanvaller de authenticatie omzeilen en door het versturen van een pakketje naar UDP-poort 9999 willekeurige opdrachten aan de router geven.
De kwetsbaarheid is aanwezig in de Asus RT-AC66U, RT-N66U en andere modellen met de meest recente firmware. Onderzoeker Joshua Drake die het probleem ontdekte adviseert om de mogelijkheid om op afstand commando's op de router uit te voeren te verwijderen. "Zelfs met sterke authenticatie is het versturen van een wachtwoord over het LAN niet echt gewenst." Wie toch op afstand toegang wil hebben kan dit beter via SSH doen merkt de onderzoeker op.
In afwachting op een update hebben gebruikers verschillende mogelijkheden. Zo stelt David Longenecker voor om via een script de infosvr-dienst tijdens het opstarten uit te schakelen. Eric Sauvageau adviseert om poort 9999 te firewallen en Drake geeft zelf als optie om de infosrv-dienst na het opstarten uit te schakelen. Iets wat ironisch genoeg via de exploit kan worden gedaan die van het lek misbruik maakt.
Deze posting is gelocked. Reageren is niet meer mogelijk.