Un attaccante potrebbe sfruttare tre vulnerabilità RCE critiche per dirottare alcuni router Asus diffusi in ambito consumer e tuttora in vendita sul sito web del vendor taiwanese. I modelli interessati sono ASUS RT-AX55, RT-AX56U_V2, e RT-AC86U con le versioni firmware rispettivamente 3.0.0.4.386_50460, 3.0.0.4.386_50460 e 3.0.0.4_386_51529. Sono tutti modelli di fascia alta particolarmente gettonati fra gli appassionati di videogame e in generale gli utenti che esigono prestazioni di rete elevate.

Le falle invece sono contraddistinte dalle sigle CVE-2023-39238, CVE-2023-39239 e CVE-2023-39240, tutte accomunate dal punteggio CVSS di 9.8 su 10 e dal fatto che possono essere sfruttate da remoto senza autenticazione. Uno sfruttamento riuscito consente a un cybercriminale l'esecuzione di codice remoto, l’interruzione del servizio e l’esecuzione di operazioni arbitrarie sul dispositivo.

Un altro punto in comune è che in tutti e tre i casi si stratta di problemi di sicurezza derivanti dall'input dell'utente non convalidato all'interno dei parametri di stringa di determinate funzioni. In particolare, CVE-2023-39238 consiste nella mancanza di una corretta verifica della stringa del formato di input sul modulo API 'ser_iperf3_svr.cgi'. CVE-2023-39239 identifica la mancanza di una verifica adeguata della stringa del formato di input nell'API della funzione di impostazione generale, mentre CVE-2023-39240 è la mancanza di una verifica adeguata della stringa del formato di input sul modulo API relativo a iperf 'ser_iperf3_cli.cgi'.

L’azienda produttrice ha chiuso le falle con il rilascio di tre firmware aggiornati, da installare con priorità sui dispositivi connessi in rete. Per il modello RT-AX55 è consigliato l’update al firmware 3.0.0.4.386_51948 o successivo. L’RT-AX56U_V2 deve essere aggiornato con il firmware 3.0.0.4.386_51948 o successivo, mentre il modello RT-AC86U deve essere portato al firmware 3.0.0.4.386_51915 o successivo.

Inoltre, dato che alcune falle impattano sulla console di amministrazione Web, Asus consiglia gli utenti consumer di disattivare la funzionalità di amministrazione remota (WAN Web Access).