Actualités

Asus : deux vulnérabilités dont une XSS pour un modèle de routeur !

On doit les mises en lumière à Trustwave : depuis le 23 Juillet dernier, une double vulnérabilité résidait pour certains routeurs du fabricant. L’une d’elles concerne une faille de type Cross-site scripting (XSS)…

 

 

Le modèle RT-AC1900P est principalement concerné, comme indiqué dans le billet dédié de l’équipe sécuritaire. D’une part, une première faille (assignée CVE-2020-15498) permet de contourner l’authentification des certificats depuis le routeur qui ne serait pas mis à jour : “vous pouvez vous connecter via SSH et grep via le système de fichiers pour une chaîne: –no-check-certificate – Cela donnera des scripts shell qui effectuent des téléchargements à partir des serveurs de mise à jour ASUS. Un attaquant malveillant pourrait exploiter cette absence de vérification de certificat pour forcer l’installation de fichiers malveillants“, est-il indiqué. Dans le pire des cas, cela peut déboucher à une attaque de type MITM avec un accès, donc, total au trafic dudit routeur.

D’autre part, une seconde faille (assignée CVE-2020-15499) résidait dans “l’interface de gestion Web liée aux mise à jour du micrologiciel“. En effet, depuis la page dédiée aux notes de versions / publications un bug était présent et pouvait, par l’exploitation indirecte de la première faille un peu plus haut, permettre à un individu malveillant d’exécution du code arbitraire JavaScript, par injection.

Une rustine (v3.0.0.4.385_20253) a été déployé depuis peu par ASUS, pour ce modèle de routeur : pensez à mettre à jour si vous possédez ce modèle… A veiller !

 

Source : Blog Trustwave – 23 Juillet 2020 – Asus : routeur RT-AC1900P affecté par deux vulnérabilités critiques.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2020