Módem router ASUS DSL-N12E_C1. ASUS
Se descubrió una vulnerabilidad de ejecución remota de comandos en la versión 1.1.2.3 del firmware ASUS DSL-N12E_C1. El exploit fue descubierto y escrito por Fakhri Zulkifli y solo se probó en la versión 1.1.2.3_345. El impacto de la vulnerabilidad en las versiones anteriores sigue siendo desconocido en esta etapa. Para mitigar esta vulnerabilidad, ASUS ha lanzado una actualización (versión 1.1.2.3_502) para el firmware de sus dispositivos y se anima a los usuarios a actualizar el BIOS y el firmware de sus dispositivos a esta última versión para evitar los riesgos que plantea esta vulnerabilidad.
DSL-N12E_C1 es un módem router ADSL inalámbrico de 300 Mbps de ASUS. El dispositivo cuenta con una amplia cobertura de área, transmisión de señal más fuerte, velocidades más rápidas y una configuración de enrutador simple de 30 segundos. La configuración rápida permite a los usuarios configurar el dispositivo directamente desde los navegadores de sus dispositivos portátiles.
El soporte de producto para este dispositivo inalámbrico en el sitio web de Asus ofrece una actualización de firmware a la versión 1.1.2.3_502 . Esta actualización trae varias correcciones de errores tanto para el Anexo A como para el Anexo B. Estas correcciones incluyen una resolución del problema de falla de inicio de sesión de la interfaz de usuario, así como un problema de falla en entrar en vigor en LAN> LAN IP. La actualización también mejora la funcionalidad del servidor web al tiempo que mejora el enlace de recursos de preguntas frecuentes sobre problemas comunes de resolución de problemas. Además de esto, la actualización ha mejorado la lista de reglas predeterminadas de QoS y también ha solucionado una multitud de otros problemas relacionados con la interfaz de usuario.
Como la última actualización para este dispositivo inalámbrico ASUS ha estado disponible durante más de un mes, parece que la vulnerabilidad solo se presenta debido a la negligencia por parte de los usuarios para actualizar sus sistemas. Los detalles sobre la falla de código que provocó esta vulnerabilidad los describe Zulkifli en su exploit enviar . Como el problema ya se resolvió, no se solicitó un CVE para esta vulnerabilidad y el riesgo se considera bajo dado que la solución está a solo una actualización.
