مسیریابهای بیسیمِ ASUS RT-N10E دارای آسیبپذیری دور زدن احراز هویت با شمارهی آسیبپذیری CVE-592 میباشد.
مسیریابهای بیسیمِ ASUS RT-N10E دارای آسیبپذیری دور زدن احراز هویت با شمارهی آسیبپذیری CVE-592 میباشد. از این رو یک مهاجم با دسترسی شبکه به دستگاه میتواند به صفحهی http://RouterIPAddress/qis/QIS_finish.htm دست یابد و درواقع بدون نیاز به وارد کردن اطلاعات محرمانهی ورودی با صفحهای رو به رو میشود که حاوی تنظیمات دستگاه است. این صفحه گذرواژهی مدیریتی دستگاه را به نمایش درخواهد آورد. تنظیمات پیشفرض برای این دستگاه صرفاً برای کاربرانی که به شبکهی محلی(LAN) متصل شدهاند مجاز است تا به رابط سامانه دست پیدا کنند.
شایان ذکر است که این آسیبپذیری در نسخهی 2.0.0.24 و ماقبلِ آن از ASUS Wireless-N150 Router RT-N10E گزارش شده است.
اثر احتمالی
یک مهاجم غیرمجاز که به شبکهی محلیِ مسیریاب متصل شده میتواند گذرواژهی مدیریتی دستگاه را بازیابی کند و به این ترتیب مستقیماً به صفحهی تنظیمات دستگاه دست یابد.
راهحل پیشنهادی
اعمالِ بهروزرسانی
Asus سفتافزار نسخهی 2.0.0.25 را برای رفع این آسیبپذیری منتشر کرد. در صورتی که اعمالِ بهروزرسانی ممکن نیست، اقدامات زیر را به کار ببندید:
- محدود کردن دسترسی به شبکه
- دسترسی شبکهای به رابطِ وبِ مسیریابِ بیسیمِ N150 RT-N10E و سایرِ دستگاههایی که از پروتکلهای باز مانند HTTP استفاده میکنند را محدود نمایید.
- غیرفعال کردن مدیریت دستگاه شبکهی گسترده یا WAN
- دسترسی شبکهای به رابط وبِ Wireless-N150 Router RT-N10E را از اتصالات اینترنت قطع کنید.