ASUS advierte a los clientes de enrutadores: Parche ahora o bloquee todas las solicitudes entrantes

ASUS es un conocido fabricante de productos electrónicos populares, que van desde computadoras portátiles y teléfonos hasta enrutadores domésticos y tarjetas gráficas.

Esta semana, la empresa publicó actualizaciones de firmware para una amplia gama de sus enrutadores domésticos, junto con un fuerte advertencia que si no está dispuesto o no puede actualizar su firmware en este momento, entonces necesita:

[Desactive] los servicios accesibles desde el lado WAN para evitar posibles intrusiones no deseadas. Estos servicios incluyen acceso remoto desde WAN, reenvío de puertos, DDNS, servidor VPN, DMZ, activación de puertos.

Suponemos que ASUS espera que los posibles atacantes se ocupen de probar los dispositivos expuestos ahora que se ha publicado una larga lista de correcciones de errores.

(Por supuesto, es posible que los atacantes bien informados ya conozcan algunos, muchos o todos estos agujeros, pero no tenemos conocimiento de ningún exploit de día cero en la naturaleza).

Como hemos señalado antes en Naked Security, las vulnerabilidades suelen ser mucho más fáciles de descubrir si tiene señales que le indiquen dónde buscar...

…del mismo modo que es mucho más rápido y fácil encontrar una aguja en un pajar si alguien te dice en qué fardo está antes de empezar.

.s-botón+.s-botón { margen izquierdo: .3125rem; } .s-button { transición: todo .15s lineal; tamaño de fuente: .875rem; altura de línea: 1.5; color: #f2f2f2; familia de fuentes: SophosSansMedium, Helvetica Neue, Helvetica, Arial, sans-serif; peso de fuente: 400; estilo de fuente: normal; pantalla: bloque en línea; relleno: .3125rem 1.25rem; cursor: puntero; alineación de texto: centro; texto-decoración: ninguno; borde: 1px sólido #005bc8; borde-radio: 3px; color de fondo: #005bc8; sombra de texto: ninguno; } .s-button:hover { texto-decoración: ninguno; color: #fff; color del borde: #002d62; color de fondo: #002d62; } .s-button–white, .s-button–white:hover { color: #005bc8 !importante; color del borde: #fff; color de fondo: #fff; } .s-ad-sophos-mdr { tamaño de fuente: 1rem; altura de línea: 1.5; color: #242629; familia de fuentes: SophosSansRegular, Helvetica Neue, Helvetica, Arial, sans-serif; peso de fuente: 400; estilo de fuente: normal; posición: relativa; ancho máximo: 769px; margen: 15px automático; relleno: 30px 30px 25px; transición: box-shadow .25s cubic-bezier( .645, .045, .355, 1 ); alineación de texto: centro; color de fondo: #0d141d; repetición de fondo: sin repetición; posición de fondo: 50%; tamaño de fondo: portada; box-shadow: 0 0 0 0 0 transparente; color de fondo: #005bc8; imagen de fondo: ninguno; posición de fondo: 0 0; } .s-ad-sophos-mdr__title { tamaño de fuente: 2rem; altura de línea: 1.125; margen inferior: 4px; color: #fff; } .s-ad-sophos-mdr__text { familia de fuentes: SophosSansLight, Helvetica Neue, Helvetica, Arial, sans-serif; peso de fuente: 400; estilo de fuente: normal; tamaño de fuente: 17px; color: #fff; } .s-ad-sophos-mdr__action { margen superior: 15px; } .s-ad-sophos-mdr__action .s-button { color: #fff; } .s-ad-sophos-mdr__link-wrapper { decoración de texto: ninguno; } .s-ad-sophos-mdr__link-wrapper:hover .s-ad-sophos-mdr { box-shadow: 0 5px 10px 0 rgba( 0, 0, 0, .15 ); } .s-ad-sophos-mdr__sophos-logo { posición: absoluta; arriba: 15px; derecha: 15px; } .s-ad-sophos-mdr__sophos-logo-svg { display: inline-block; ancho: 64px; altura: 11px; alineación vertical: superior; repetición de fondo: sin repetición; tamaño de fondo: 64px 11px; } .s-ad-sophos-mdr__title { familia de fuentes: SophosSansSemibold, Helvetica Neue, Helvetica, Arial, sans-serif; peso de fuente: 400; estilo de fuente: normal; tamaño de fuente: 28px; peso de fuente: 700; altura de línea: 1; margen inferior: 10px; alineación de texto: izquierda; } .s-ad-sophos-mdr__title svg { max-width: 100%; } .s-ad-sophos-mdr__text { tamaño de fuente: 16px; altura de línea: 1.25; alineación de texto: izquierda; } .s-ad-sophos-mdr__action { text-align: right; } .s-ad-sophos-mdr .s-button { border-radius: 20px; } @media (ancho mínimo: 769 px) { .s-ad-sophos-mdr__text { margen derecho: 140 px; } .s-ad-sophos-mdr__action { posición: absoluta; derecha: 30px; inferior: 30px; } } @media (ancho máximo: 768 px) { .s-ad-sophos-mdr { padding-top: 50 px; } .s-ad-sophos-mdr__title { tamaño de fuente: 1.625rem; } .s-ad-sophos-mdr__text { tamaño de fuente: 16px; } .s-ad-sophos-mdr { padding-top: 30px; } }

Haz lo que decimos, no lo que hacemos.

De manera molesta para los clientes de ASUS, tal vez, dos de las vulnerabilidades ahora parcheadas han estado esperando ser reparadas durante mucho tiempo.

Ambos tienen una "puntuación de peligro" de 9.8/10 y una calificación CRÍTICA en el NVD de EE. UU., o Base de datos nacional de debilidades (informes parafraseados por nosotros):

CVE-2022-26376. Corrupción de memoria en la funcionalidad de unescape de httpd. Una solicitud HTTP especialmente diseñada puede provocar daños en la memoria. Un atacante puede enviar una solicitud de red para desencadenar esta vulnerabilidad. (Puntaje base: 9.8 CRÍTICO.)
CVE-2018-1160. Netatalk antes de 3.1.12 [lanzado el 2018 de diciembre de 12] vulnerable a una escritura fuera de los límites. Esto se debe a la falta de verificación de límites en los datos controlados por el atacante. Un atacante remoto no autenticado puede aprovechar esta vulnerabilidad para lograr la ejecución de código arbitrario. (Puntaje base: 9.8 CRÍTICO.)

Para explicar.

netatalk es un componente de software que brinda soporte para redes al estilo de Apple, pero esto no significa que un atacante deba usar una computadora Macintosh o software de Apple para activar el error.

De hecho, dado que un exploit exitoso requeriría datos de red malformados deliberadamente, el software de cliente legítimo de Netatalk probablemente no haría el trabajo de todos modos, por lo que un atacante usaría un código creado a medida y, en teoría, podría montar un ataque desde cualquier sistema operativo en cualquier computadora. con una conexión de red.

HTTP escapando y sin escapar se necesita cada vez que una URL incluye un carácter de datos que no se puede representar directamente en el texto de la URL.

Por ejemplo, las direcciones URL no pueden incluir espacios (para garantizar que siempre formen un solo fragmento contiguo de texto imprimible), por lo que si desea hacer referencia a un nombre de usuario o un archivo que contiene un espacio, debe escapar el carácter de espacio convirtiéndolo en un signo de porcentaje seguido de su código ASCII en hexadecimal (0x20 o 32 en decimal).

Del mismo modo, debido a que esto le da un significado especial al propio carácter de porcentaje, también debe escribirse como un signo de porcentaje (%) seguido de su código ASCII (0x25 en hexadecimal o 37 en decimal), al igual que otros caracteres utilizados de forma distintiva en las URL, como dos puntos (:), barra oblicua (/), signo de interrogación (?) y ampersand (&).

Una vez recibido por un servidor web (el programa denominado httpd en la información CVE anterior), los caracteres escapados son desahuciado convirtiéndolos de nuevo de sus formas codificadas en porcentaje a los caracteres de texto originales.

Por qué ASUS tardó tanto en parchear estos errores en particular no se menciona en el aviso oficial de la compañía, pero el manejo de los "códigos de escape" HTTP es una parte fundamental de cualquier software que escuche y use URL web.

Otros errores enumerados en CVE corregidos

CVE-2022-35401. Omisión de autenticación. Una solicitud HTTP especialmente diseñada puede dar lugar a un acceso administrativo completo al dispositivo. Un atacante necesitaría enviar una serie de solicitudes HTTP para aprovechar esta vulnerabilidad. (Puntaje base: 8.1 ALTO.)
CVE-2022-38105. Revelación de información. Los paquetes de red especialmente diseñados pueden dar lugar a la divulgación de información confidencial. Un atacante puede enviar una solicitud de red para desencadenar esta vulnerabilidad. (Puntaje base: 7.5 ALTO.)
CVE-2022-38393. Denegación de servicio (DoS). Un paquete de red especialmente diseñado puede provocar una denegación de servicio. Un atacante puede enviar un paquete malicioso para desencadenar esta vulnerabilidad. (Puntaje base: 7.5 ALTO.)
CVE-2022-46871. Errores potencialmente explotables en el código abierto libusrsctp biblioteca. SCTP significa Protocolo de transmisión de control de flujo. (Puntaje base: 8.8 ALTO.)
CVE-2023-28702. Caracteres especiales sin filtrar en las URL. Un atacante remoto con privilegios de usuario normales puede aprovechar esta vulnerabilidad para realizar ataques de inyección de comandos para ejecutar comandos arbitrarios del sistema, interrumpir el sistema o cancelar el servicio. (Puntaje base: 8.8 ALTO.)
CVE-2023-28703. Desbordamiento de búfer. Un atacante remoto con privilegios de administrador puede aprovechar esta vulnerabilidad para ejecutar comandos arbitrarios del sistema, interrumpir el sistema o cancelar el servicio. (Puntaje base: 7.2 ALTO.)
CVE-2023-31195. Secuestro de sesión. Cookies sensibles utilizadas sin la Secure conjunto de atributos Un atacante podría usar un enlace web HTTP falso (sin cifrar) para secuestrar tokens de autenticación que no deberían transmitirse sin cifrar. (SIN PUNTUACIÓN.)

Quizás el error más notable en esta lista es CVE-2023-28702, un ataque de inyección de comando que suena similar al Errores de MOVEit que han estado en todas las noticias últimamente.

Como explicamos a raíz del error MOVEit, un parámetro de comando que se envía en una URL web, por ejemplo, una solicitud que le pide al servidor que comience a iniciar sesión como usuario. DUCK, no se puede transferir directamente a un comando de nivel de sistema copiando ciegamente y con confianza el texto sin formato de la URL.

En otras palabras, la solicitud:

https://example.com/?user=DUCK

…no se puede convertir simplemente a través de un proceso directo de “copiar y pegar” en un comando del sistema como:

checkuser --name=PATO

De lo contrario, un atacante podría intentar iniciar sesión como:

https://example.com/?user=DUCK;halt

… y engañar al sistema para que ejecute el comando:

checkuser --name=PATO;detener

…que es lo mismo que emitir los dos comandos separados a continuación, en secuencia:

checkuser --name=DETENER PATO

…donde el comando en la segunda línea apaga todo el servidor.

(El punto y coma actúa como un separador de comandos, no como parte de los argumentos de la línea de comandos).

Secuestro de sesión

Otro error preocupante es el problema del secuestro de sesión causado por CVE-2023-31195.

Como probablemente sepa, los servidores a menudo manejan los inicios de sesión basados en la web enviando una llamada cookie de sesión a su navegador para indicar que "quien conoce esta cookie se supone que es la misma persona que acaba de iniciar sesión".

Siempre que el servidor no le dé una de estas cookies mágicas hasta que se haya identificado, por ejemplo, presentando un nombre de usuario, una contraseña coincidente y un código 2FA válido, entonces un atacante necesitará saber sus credenciales de inicio de sesión para ser autenticado como usted en primer lugar.

Y siempre que ni el servidor ni su navegador envíen accidentalmente la cookie mágica a través de una conexión HTTP antigua, sin cifrar y sin TLS, entonces un atacante no podrá atraer fácilmente su navegador a un servidor impostor que está usando HTTP en su lugar. de HTTPS y, por lo tanto, leer la cookie de la solicitud web interceptada.

Recuerde que atraer su navegador a un dominio impostor como http://example.com/ es comparativamente fácil si un ladrón puede engañar temporalmente a su navegador para que use el número de IP incorrecto para el example.com dominio.

Pero atrayéndote a https:/example.com/ significa que el atacante también debe presentar un certificado web falsificado de manera convincente para proporcionar una validación de servidor fraudulenta, lo cual es mucho más difícil de hacer.

Para evitar este tipo de ataques, las cookies que no son públicas (ya sea por razones de privacidad o de control de acceso) deben etiquetarse Secure en el encabezado HTTP que se transmite cuando se configuran, así:

Establecer-Cookie: AccessToken=ASC4JWLSMGUMV6TGMUCQQJYL; Seguro

… en lugar de simplemente:

Establecer-Cookie: AccessToken=ASC4JWLSMGUMV6TGMUCQQJYL

¿Qué hacer?

Si tiene un enrutador ASUS afectado (la lista es esta página), parche tan pronto como puedas. El hecho de que ASUS haya tardado años en enviarle los parches no significa que pueda tomarse todo el tiempo que desee para aplicarlos, especialmente ahora que los errores involucrados son un asunto de dominio público.
Si no puede parchear a la vez, bloquee todo el acceso entrante a su enrutador hasta que pueda aplicar la actualización. Tenga en cuenta que simplemente evitar las conexiones HTTP o HTTPS (tráfico basado en la web) no es suficiente. ASUS advierte explícitamente que se podría abusar de cualquier solicitud de red entrante, por lo que incluso el reenvío de puertos (por ejemplo, para juegos) y el acceso a VPN deben bloquearse por completo.
Si eres programador, desinfecte sus entradas (para evitar errores de inyección de comandos y desbordamientos de memoria), no espere meses o años para enviar parches para errores de alto puntaje a sus clientes, y revise sus encabezados HTTP para asegurarse de que está utilizando las opciones más seguras posibles al intercambiar datos críticos como tokens de autenticación.

Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
EVM Finanzas. Interfaz unificada para finanzas descentralizadas. Accede Aquí.
Grupo de medios cuánticos. IR/PR amplificado. Accede Aquí.
PlatoAiStream. Inteligencia de datos Web3. Conocimiento amplificado. Accede Aquí.
Fuente: https://nakedsecurity.sophos.com/2023/06/20/asus-warns-router-customers-patch-now-or-block-all-inbound-requests/

Inteligencia de datos generativa

ASUS advierte a los clientes de enrutadores: Parche ahora o bloquee todas las solicitudes entrantes

Haz lo que decimos, no lo que hacemos.

Otros errores enumerados en CVE corregidos

Secuestro de sesión

¿Qué hacer?

café vc

café vc

Información más reciente

Ventureast vende más de 22 millones de acciones de Zaggle en un acuerdo estratégico en bloque

La aplicación BHIM ampliará su ecosistema a través de ONDC, desafiando a Google Pay y PhonePe

Krutrim AI, dirigida por Bhavish Aggarwal, presenta una aplicación de Android para ampliar sus soluciones de IA

Consigue estos auriculares de conducción ósea por sólo $40

5 consejos para apostar de forma responsable en las tragamonedas online

Obtenga una bicicleta eléctrica BirdBike con envío gratis por más de $ 1,500 de descuento por tiempo limitado