Kritisk sårbarhet upptäckt i Asus-routrar

Vad blev det för versionsnummer på nya FW?

Edit:har version 3.0.0.4.388_23012 på FW från april

3.0.0.4.388.235xx nånting vill jag minnas. är på jobbet nu så kan inte kolla exakta versionen

Antar det här mest gäller nyare routrar.

Haft en Asus Router ifrån 2015 som fortfarande fungerar perfekt, aldrig haft problem med den hittills. ASUS RT-AC68U.

25 funkar bra liksom så klart 11.

Var inte detta på tapeten för några år sedan(5+)?
Att någon lyckats skapa en bitcoin mining-farm av gamla routrar?
Inte mycket beräkningskraft i en router, men om du har tillgång till tusentals.

11 är det enda rätta!

Stör mig som fan på lilla TVn i sovrummet volym 5 är perfekt för går man till 6 så boostar den fan nog 30 % känns de som då är det precis för högt.... skyller på dålig TV billig skit med

Bra finding, tack för att du delar.

Nej, de menar att begränsa vilka tjänster man kan nå via WAN:

https://nvd.nist.gov/vuln/detail/CVE-2022-26376 Verkar inte vara med i några release notes från AsusWrt förrän nu i Juni. Vad AsusWrt och Merlin har gjort innan dess orkar jag inte sätta mig in i.

Denna ser rätt illa ut eftersom den drabbar webbservern i routern.

En webbsida ute på internet kan antagligen trigga att användarens webbläsare gör ett anrop till routern (routern har ju ett standardiserat namn/IP-adress som oftast används). En vanlig länk till en bild med till exempel %0 i URL:en tycks trigga buggen.

Som jag tyder informationen är man alltså sårbar om man råkar surfa till fel ställe, till exempel till en köpt annons med elak payload.

Huh? Observera att Merlin ofta har sina egna fixar, en av anledningarna till att jag alltid kör med hans firmware på Asus routrar.

Det står ju klart och tydligt även på sidan du länkar till:

"A memory corruption vulnerability exists in the httpd unescape functionality of Asuswrt prior to 3.0.0.4.386_48706 and Asuswrt-Merlin New Gen prior to 386.7"

Merlin 386.7 släpptes som sagt för ett år sedan, den är nu på 386.11:
https://www.asuswrt-merlin.net/node/14

I den loggen står detta under 386.7:
"- FIXED: CVE-2022-26376 (reported by Cisco Talos, fixed by Asus)"

Kan ju vara så att Asus själva missat att skriva detta i deras changelogg?

Men visst var sårbarheten illa om man inte bryr sig om att uppdatera.

Jag har dåliga nyheter. Med konsument-routrar sitter man i en rätt dålig sits om tillverkaren slutar uppdatera firmware, vilket de ofta gör väldigt tidigt. Med custom firmware kan man förlita sig på att få uppdateringar över längre tid, men då sitter man i skiten på ett annat sätt. Då är man själv ansvarig för att uppdatera sin firmware, men det är inte alltid enkelt. Själv kör jag OpenWRT, och kör man inte vanilla OpenWRT kan det vara rätt trixigt att uppdatera. Själv bygger jag min firmware från källkod för att det är det enda sättet att vara säker på jag får med mig all konfiguration vid uppdateringar. Har man inte kunskapen att göra detta kan man ställa till det för sig själv, om man inte kör vanilla OpenWRT. Detta kan dock vara lättare med andra öppna firmware, det har jag ingen koll på.

Bra att detta uppmärksammas, men det tycks som att RMerlin-versionen jag sitter på, 386.7.2 , är patchad.

Nyare firmware sägs vara lite krångligare att uppdatera till då de äter upp för mycket RAM eller lagring i vissa fall om man har vissa inställningar = man bör göra total reset innan man lägger in nyaste firmware = krångligt = "jag chansar". (gäller om man kör custom firmware och diverse tillägg antar jag, inte om man kör ASUS original; jag har dock annan DNS för barnens SSID etc osv så vill köra custom firmware)