Роутеры Asus RT уязвимы перед CSRF- и XSS-атаками

Александр Панасенко 11 Мая 2017 - 23:36

...

Роутеры Asus RT уязвимы перед CSRF- и XSS-атаками

Еще в январе 2017 года исследователи компании Nightwatch Cybersecurity обнаружили ряд уязвимостей более чем в сорока моделях роутеров Asus RT. Так как исследователи незамедлительно уведомили разработчиков Asus о проблемах, в марте 2017 года компания выпустила обновленную версию прошивки.

Ниже можно увидеть список уязвимых устройств (специалисты подчеркивают, что он неполон). Всем владельцам роутеров данных моделей рекомендуется проверить версию прошивки и убедиться, что она не ниже v3.0.0.4.380.7378.

RT-AC51U
RT-AC52U B1
RT-AC53
RT-AC53U
RT-AC55U
RT-AC56R
RT-AC56S
RT-AC56U
RT-AC66U
RT-AC68U
RT-AC68UF
RT-AC66R
RT-AC66U
RT-AC66W
RT-AC68W
RT-AC68P
RT-AC68R
RT-AC68U
RT-AC87R
RT-AC87U
RT-AC88U
RT-AC1200
RT-AC1750
RT-AC1900P
RT-AC3100
RT-AC3200
RT-AC5300
RT-N11P
RT-N12 (только версия D1)
RT-N12+
RT-N12E
RT-N16
RT-N18U
RT-N56U
RT-N66R
RT-N66U (только версия B1)
RT-N66W
RT-N300
RT-N600
RT-4G-AC55U (патча пока нет)

В блоге Nightwatch Cybersecurity можно найти подробное описание всех обнаруженных проблем, а также proof-of-concept эксплоиты для них. Ниже мы приводим краткое описание уязвимостей.

CSRF на странице логина (CVE-2017-5891): страница входа в админку роутера не защищена от CSRF-атак, а значит, атакующий может заманить пользователя на вредоносный сайт и оттуда осуществить запрос к странице логина. Этот баг можно использовать для входа в панель администратора, если устройство использует учетные данные по умолчанию (admin/admin), или в том случае, если злоумышленник знает логин и пароль жертвы, пишет xakep.ru.

Сохранение настроек CSRF (CVE-2017-5891): используя описанную выше проблему, атакующий может изменить сетевые настройки или настройки безопасности роутера, а также учетные данные.

JSONP раскрывает информацию, аутентификация не требуется: JSONP отвечает на запросы извне, сообщая злоумышленнику такую информацию, как модель роутера, SSID, IP-адреса и так далее.

JSONP раскрывает информацию, требуется аутентификация (CVE-2017-5892): как и в вышеописанном случае, JSONP раскрывает данные об устройстве, в том числе более подробную информацию о сети, настройки access point, внешний IP-адрес, данные WebDAV и так далее.

XML-эндпоинт позволяет узнать пароль от Wi-Fi: для реализации атаки нужно, чтобы злоумышленник находился в той же сети и знал пароль администратора, после чего можно обратиться к XML и узнать пароль от Wi-Fi.

Однако это не все уязвимости, которые разработчики Asus устранили в новой версии прошивки. Еще несколько проблем в роутерах серии RT обнаружил независимый исследователь Бруно Бирбаумер (Bruno Bierbaumer). Среди его «находок» были XSS на странице логина (CVE-2017-6547), баг, позволяющий похищать сессии (CVE-2017-6549), а также опасная RCE-уязвимость (CVE-2017-6548).

Следующая главная новость »

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!

Екатерина Быстрова 04 Июня 2026 - 12:32

Трояны Домашние пользователи

Более 50 расширений Chrome с живыми обоями оказались вредоносными

Любите красивые анимированные обои для новой вкладки Chrome? Есть плохие новости. Исследователи из Unit 42 обнаружили масштабную кампанию Gameograf, в рамках которой более 50 расширений для браузера маскировались под безобидные инструменты с живыми обоями, а на деле превращали браузер в рекламную площадку злоумышленников.

По оценкам специалистов, жертвами схемы стали около 30 тысяч пользователей.

Расширения распространялись через Chrome Web Store и сторонние сайты, посвящённые обоям, темам оформления и кастомизации браузера. Пользователям обещали эффектные анимированные фоны и стильные новые вкладки, но после установки начиналось совсем другое шоу.

Получив необходимые разрешения, расширения принудительно открывали новые вкладки, перенаправляли пользователей на рекламные страницы и загружали контент с серверов операторов кампании.

Причём большая часть логики работала удалённо: злоумышленники регулярно подгружали HTML-код и настройки со своей инфраструктуры, не публикуя новые версии расширений в магазине Chrome.

Фактически операторы могли в любой момент менять рекламу, ссылки, всплывающие окна и сценарии перенаправления.

Особую тревогу исследователей вызвал механизм удалённой загрузки HTML-контента без какой-либо фильтрации. Сегодня через него показывается реклама, а завтра ту же схему можно использовать для фишинга, поддельных окон авторизации или доставки других вредоносных компонентов.

Для дополнительной маскировки расширения регулярно очищали локальные базы данных браузера IndexedDB. Это помогало сбрасывать состояние и затрудняло анализ происходящего.

Основными жертвами кампании стали обычные пользователи, геймеры и поклонники популярных игровых и медиафраншиз, которые искали тематические обои для браузера.

В результате пользователи сталкивались с навязчивой рекламой, постоянными редиректами, самопроизвольным открытием вкладок и ухудшением производительности браузера.

Эксперты рекомендуют проверить список установленных расширений и удалить подозрительные дополнения с живыми обоями или кастомными стартовыми страницами. Особенно если они требуют широкие разрешения и активно взаимодействуют с внешними сайтами.

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!