Простая и в то же время крайне неприятная уязвимость в маршрутизаторах Asus была обнаружена исследователем информационной безопасности Дэвидом Лонжнекером. Брешью затронуты устройства, работающие на базе прошивки ASUSWRT. Из-за проблем в интерфейсе все желающие могут воспользоваться панелью администратора.
Как утверждает исследователь, уязвимость присутствует в 140000 маршрутизаторов Asus. В большинстве случаев панелью администратора можно воспользоваться через HTTP. Также 15000 устройств доступны через HTTPS.
Видимо, причиной существования уязвимости является обычная мелкая халатность разработчиков. Обычно для запрета удаленного доступа к панели администратора в настройках маршрутизатора необходимо отключить опцию Enable Web Access from WAN. Но устройства Asus имеют встроенный брандмауэр. Чтобы его активировать, нужно в настройках выбрать пункт Enable Firewall.
Лонжнекер выяснил, что отключение встроенного файервола по неизвестной причине влечет и запрет на опцию Enable Web Access from WAN.
Исследователь проинформировал Asus об уязвимости. Специалисты компании работают над новой версией прошивки, содержащей исправление ошибки. До выхода патча всем пользователям следует проверить, включен ли файервол на маршрутизаторе.