Firmware Updates erforderlich: Router von Asus und Huawei mit kritischen Sicherheitslecks
Die Hersteller Asus und Huawei informieren über Firmware-Updates für bestimmte Router-Modelle mit denen teils kritische Sicherheitslücken gestopft werden sollen. Bei Asus sind gleich 19 Router betroffen. Bei Huawei trifft es nur einen. Nutzer sollten schnellstmöglich die Firmware aktualisieren.
Asus schließt diverse Sicherheitslücken
Auf die Sicherheitsprobleme bei bestimmten Asus-Routern hat Bleeping Computer aufmerksam gemacht und hebt dabei die als besonders kritisch eingestuften Schwachstellen CVE-2022-26376 und CVE-2018-1160 hervor. Erstere könne einem Angreifer ermöglichen, mit einer speziell gestalteten HTTP-Anfrage Speicherfehler hervorzurufen. Die zweite, schon wesentlich länger bekannte Lücke betrifft den Fileserver Netatalk und soll Angreifern die Ausführung beliebigen Codes ermöglichen.
Per Sicherheitshinweis weist Asus auf diese sowie weitere Schwachstellen hin, die mit einer neuen Firmware behoben werden sollen, die für nachfolgend aufgelistete Router zur Verfügung steht:
| Betroffene Asus-Router | Firmware-Download |
|---|---|
| GT6 | Link |
| GT-AXE16000 | Link |
| GT-AXE11000 PRO | Link |
| GT-AXE11000 | Link |
| GT-AX6000 | Link |
| GT-AX11000 | Link |
| GS-AX5400 | Link |
| GS-AX3000 | Link |
| ZenWiFi XT9 | Link |
| ZenWiFi XT8 | Link |
| ZenWiFi XT8_V2 | Link |
| RT-AX86U PRO | Link |
| RT-AX86U | Link |
| RT-AX86S | Link |
| RT-AX82U | Link |
| RT-AX58U | Link |
| RT-AX3000 | Link |
| TUF-AX6000 | Link |
| TUF-AX5400 | Link |
Die Liste der mit den kumulativen Updates geschlossenen Lücken und behobenen Fehler ist nahezu genauso lang und liest sich wie folgt:
- Fixed CVE-2023-28702, CVE-2023-28703, CVE-2023-31195, CVE-2022-46871, CVE-2022-38105, CVE-2022-35401, CVE-2018-1160, CVE-2022-38393, CVE-2022-26376
- Fixed DoS vulnerabilities in firewall configuration pages.
- Fixed DoS vulnerabilities in httpd.
- Fixed information disclosure vulnerability.
- Fixed null pointer dereference vulnerabilities.
- Fixed the cfg server vulnerability.
- Fixed the vulnerability in the logmessage function.
- Fixed Client DOM Stored XSS
- Fixed HTTP response splitting vulnerability
- Fixed status page HTML vulnerability.
- Fixed HTTP response splitting vulnerability.
- Fixed Samba related vulerabilities.
- Fixed Open redirect vulnerability.
- Fixed token authentication security issues.
- Fixed security issues on the status page.
- Enabled and supported ECDSA certificates for Let's Encrypt.
- Enhanced protection for credentials.
- Enhanced protection for OTA firmware updates.
Asus
Sollte jemand aus welchem Grund auch immer die Firmware-Updates nicht installieren wollen oder können, empfiehlt Asus die über WAN erreichbaren Dienste zu deaktivieren. Dazu zählen der WAN-Fernzugriff, die Portweiterleitung, DDNS, VPN-Server, DMZ und Port-Trigger, so Asus.
Ein Problem bei Huawei
Nur einen Router von Huawei betrifft wiederum die bereits seit Mai bekannte Sicherheitslücke CVE-2022-48469 über die heise online berichtet. Wird die Schwachstelle ausgenutzt, könne ein Angreifer Pakete bei der Datenübertragung abgreifen (Traffic-Hijacking).
Huawei hat für das betroffene Router-Modell B535-232a die Firmware 2.0.0.1(H318SP6C983) veröffentlicht, die die Lücke schließen soll. Das Update werde automatisch verteilt, heißt es in der Sicherheitsmeldung von Huawei.