Wie een router, modem of accesspoint aan het instellen is moet niet gelijktijdig gaan internetten, zo adviseert het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit naar aanleiding van twee beveiligingslekken in een accesspoint van de Taiwanese elektronicafabrikant Asus.

Het gaat om de Asus RP-AC52, maar mogelijk zijn ook andere modellen kwetsbaar. Dit accesspoint wordt ook in Nederland verkocht. Het toestel is kwetsbaar voor cross-site request forgery (csrf) en command-injectie. De webinterface van het accesspoint, waarmee het apparaat kan worden geconfigureerd, blijkt niet voldoende te controleren of een verzoek echt van de gebruiker afkomstig is.

Een aanvaller kan via een csrf-aanval zodoende acties met dezelfde rechten als de gebruiker uitvoeren. Voorwaarde is wel dat de gebruiker op de webinterface is ingelogd en bijvoorbeeld een kwaadaardige website of link opent. Verder blijkt de webinterface kwetsbaar voor command-injectie te zijn waardoor een aanvaller willekeurige commando's kan uitvoeren.

Een beveiligingsupdate van Asus is niet beschikbaar. Daarnaast speelt het probleem vermoedelijk ook bij de EA-N66, RP-N12, RP-N14, RP-N53, RP-AC56 en WMP-N12. Als tijdelijke oplossing adviseert het CERT/CC daarom dat gebruikers als ze op de webinterface zijn ingelogd voor het beheren van hun apparaat niet gelijktijdig via een andere browsertab gaan internetten. Verder wordt aangeraden een sterk wachtwoord in te stellen, aangezien dit bij het voorkomen van een csrf-aanval kan helpen.