ASUS CVE-2024-31163, CVE-2024-31162, CVE-2024-31161, CVE-2024-31160, CVE-2024-3080 ve CVE-2024-3079

CVE-2024-31163: ASUS Download Master'da Arabellek Taşması Güvenlik Açığı

Genel Bakış:

ASUS Download Master, 3.1 sürümüne kadar, CVE-2024-31163 olarak etiketlenen bir arabellek taşması güvenlik açığıyla tespit edildi. Bu güvenlik açığı, yönetici ayrıcalıklarına sahip kimliği doğrulanmamış uzak saldırganların cihazda keyfi sistem komutları yürütmesine izin vererek potansiyel olarak tam bir tehlikeye yol açabilir.

Detaylar:

ASUS Download Master'daki arabellek taşması güvenlik açığı, kullanıcı tarafından sağlanan girdinin uygunsuz işlenmesinden kaynaklanır. Saldırganlar, etkilenen cihaza özel olarak hazırlanmış istekler göndererek bu açığı istismar edebilir. Başarılı bir istismardan sonra, saldırgan arabelleği aşabilir ve uygulama bağlamında keyfi sistem komutları yürütebilir ve potansiyel olarak cihaz üzerinde tam kontrol elde edebilir.

Risk değerlendirmesi:

7.2 CVSS puanıyla bu güvenlik açığı yüksek riskli olarak sınıflandırılmıştır. Kimliği doğrulanmamış uzak saldırganların yönetici ayrıcalıklarıyla keyfi komutlar yürütme yeteneği, etkilenen cihazların bütünlüğü ve güvenliği için önemli bir tehdit oluşturmaktadır. Bu güvenlik açığının istismarı veri kaybına, cihaz güvenliğinin tehlikeye atılmasına ve potansiyel olarak daha fazla ağ istismarına yol açabilir.

Azaltma:

ASUS, arabellek taşması güvenlik açığını ele alan Download Master'ın 3.1 sürümünü yayınladı. Kullanıcıların, istismar riskini azaltmak için en son sürüme güncelleme yapmaları şiddetle tavsiye edilir. Ek olarak, ağ yöneticileri, güvenlik açığı olan cihazlara yetkisiz erişimi kısıtlamak için uygun erişim kontrolleri ve güvenlik duvarı kurallarını uygulamalıdır.

CVE-2024-31162: ASUS Download Master'da Uygunsuz Giriş Filtrelemesi

Genel Bakış:

CVE-2024-31162, ASUS Download Master'ın 3.1 sürümüne kadar mevcut olan uygunsuz bir giriş filtreleme güvenlik açığını vurgular. Bu kusur, yönetici ayrıcalıklarına sahip kimliği doğrulanmamış uzak saldırganların cihazda keyfi sistem komutları yürütmesine olanak tanır.

Detaylar:

Bu güvenlik açığı, ASUS Download Master'daki belirli işlev parametresinin kullanıcı girdisini düzgün bir şekilde filtrelememesinden kaynaklanmaktadır. Saldırganlar, etkilenen parametreye kötü amaçlı girdi göndererek, güvenlik kontrollerini atlatarak ve cihazda keyfi komutlar yürüterek bu zayıflıktan yararlanabilir.

Risk değerlendirmesi:

7.2 CVSS puanı ile bu güvenlik açığı yüksek riskli olarak değerlendirilir. Uzak saldırganların yönetici ayrıcalıklarıyla keyfi komutlar yürütme yeteneği, etkilenen cihazların güvenliği ve bütünlüğü için ciddi bir tehdit oluşturur. Bu güvenlik açığının istismarı, yetkisiz erişime, veri sızdırılmasına ve ağ altyapısının daha fazla tehlikeye atılmasına yol açabilir.

Azaltma:

ASUS, uygunsuz giriş filtreleme güvenlik açığını gideren Download Master'ın 3.1 sürümünü yayınladı. Kullanıcılar, istismar riskini azaltmak için derhal en son sürüme güncellemelidir. Ek olarak, ağ yöneticileri güçlü erişim kontrolleri uygulamalı ve şüpheli etkinlik için cihaz günlüklerini düzenli olarak izlemelidir.

CVE-2024-31161: ASUS Download Master'da Güvenli Olmayan Dosya Yükleme

Genel Bakış:

CVE-2024-31161, ASUS Download Master'ın 3.1 sürümüne kadar güvenli olmayan bir dosya yükleme güvenlik açığını ortaya çıkarıyor. Bu güvenlik açığı, yönetici ayrıcalıklarına sahip uzak saldırganların cihazdaki herhangi bir konuma keyfi dosyalar yüklemesine olanak tanıyor ve bu da potansiyel olarak daha fazla tehlikeye yol açıyor.

Detaylar:

Bu güvenlik açığı, ASUS Download Master'ın yükleme işlevinde uygun giriş doğrulamasının olmamasından kaynaklanmaktadır. Saldırganlar, etkilenen cihaza kötü amaçlı dosyalar göndererek, güvenlik kontrollerini atlatarak ve potansiyel olarak tarama sırasında keyfi sistem komutlarını yürüten kötü amaçlı web sayfası dosyaları yükleyerek bu zayıflıktan yararlanabilir.

Risk değerlendirmesi:

7.2 CVSS puanıyla bu güvenlik açığı yüksek riskli olarak sınıflandırılır. Uzak saldırganların yönetici ayrıcalıklarına sahip keyfi dosyaları yükleme yeteneği, etkilenen cihazların güvenliği için önemli bir tehdit oluşturur. Bu güvenlik açığının istismarı yetkisiz erişime, veri manipülasyonuna ve ağ kaynaklarının daha fazla istismarına yol açabilir.

Azaltma:

ASUS, güvenli olmayan dosya yükleme açığını ele alan Download Master'ın 3.1 sürümünü yayınladı. Kullanıcıların, istismar riskini azaltmak için en son sürüme güncelleme yapmaları şiddetle tavsiye edilir. Ek olarak, ağ yöneticileri yetkisiz dosya yüklemelerini önlemek için sıkı erişim kontrolleri ve dosya yükleme kısıtlamaları uygulamalıdır.

CVE-2024-31160: ASUS Download Master'da Depolanan Cross-Site Komut Dosyası Çalıştırma

Genel Bakış:

CVE-2024-31160, ASUS Download Master'ın belirli sayfalarında bulunan depolanmış bir çapraz site betikleme (XSS) güvenlik açığını vurgular. Bu güvenlik açığı, yönetici ayrıcalıklarına sahip uzak saldırganların kötü amaçlı JavaScript kodu eklemesine olanak tanır ve bu da potansiyel olarak kullanıcıların tarayıcılarının daha fazla istismar edilmesine yol açabilir.

Detaylar:

Bu güvenlik açığı, ASUS Download Master'ın belirli sayfalarında uygun giriş filtrelemesinin olmamasından kaynaklanmaktadır. Saldırganlar, belirli parametrelere kötü amaçlı JavaScript kodu enjekte ederek bu açığı istismar edebilir, bu kod daha sonra etkilenen sayfalara erişildiğinde kullanıcıların tarayıcılarının bağlamında depolanır ve yürütülür.

Risk değerlendirmesi:

4.8 CVSS puanıyla bu güvenlik açığı orta riskli olarak sınıflandırılır. Doğrudan keyfi komut yürütmeye veya yetkisiz erişime yol açmasa da saldırganların kullanıcıların tarayıcılarına kötü amaçlı JavaScript kodu enjekte edip yürütme yeteneği, oturum ele geçirme ve veri hırsızlığı dahil olmak üzere çeşitli istemci tarafı saldırı biçimlerine yol açabilir.

Azaltma:

ASUS, depolanan XSS açığını gideren yamalı bir Download Master sürümü yayınlamalıdır. Bir yama mevcut olana kadar, kullanıcıların etkilenen sayfalara erişirken dikkatli olmaları ve şüpheli veya güvenilmeyen içeriklerle etkileşime girmekten kaçınmaları önerilir. Ek olarak, ağ yöneticileri XSS saldırıları riskini azaltmak için web uygulaması güvenlik duvarları ve içerik güvenliği politikaları uygulayabilir.

CVE-2024-3080: Bazı ASUS Yönlendirici Modellerinde Kimlik Doğrulama Baypas Güvenlik Açığı

Genel Bakış:

ASUS yönlendiricilerinin belirli modelleri, CVE-2024-3080 olarak tanımlanan bir kimlik doğrulama atlama güvenlik açığına karşı savunmasızdır. Bu kusur, kimliği doğrulanmamış uzak saldırganların uygun kimlik doğrulaması olmadan cihaza giriş yapmasına ve hassas işlevlere ve yapılandırmalara yetkisiz erişim elde etmesine olanak tanır.

Detaylar:

ASUS yönlendiricilerindeki kimlik doğrulama atlama güvenlik açığı, belirli oturum açma uç noktalarındaki uygunsuz erişim kontrollerinden kaynaklanır. Saldırganlar, etkilenen cihaza özel olarak hazırlanmış istekler göndererek, kimlik doğrulama kontrollerini atlayarak ve yönetimsel işlevlere sınırsız erişim elde ederek bu açığı istismar edebilir.

Risk değerlendirmesi:

9,8 CVSS puanıyla bu güvenlik açığı kritik olarak sınıflandırılmıştır. Kimliği doğrulanmamış uzak saldırganların kimlik doğrulamasını atlatıp ASUS yönlendiricilerine yönetimsel erişim elde etme yeteneği, etkilenen cihazların güvenliği ve bütünlüğü için ciddi bir tehdit oluşturmaktadır. Bu güvenlik açığının istismar edilmesi, yetkisiz yapılandırma değişikliklerine, veri sızdırılmasına ve daha fazla ağ ihlaline yol açabilir.

Azaltma:

ASUS, kimlik doğrulama atlama açığını ele alan etkilenen yönlendirici modelleri için aygıt yazılımı güncellemeleri yayınladı. Kullanıcılara, istismar riskini azaltmak için yönlendiricilerini en son aygıt yazılımı sürümüne güncellemeleri şiddetle tavsiye edilir. Ek olarak, ağ yöneticileri, savunmasız cihazlara yetkisiz erişimi kısıtlamak için güçlü erişim kontrolleri ve güvenlik duvarı kuralları uygulamalıdır.

CVE-2024-3079: Bazı ASUS Yönlendirici Modellerinde Arabellek Taşması Güvenlik Açığı

Genel Bakış:

ASUS yönlendiricilerinin belirli modelleri, CVE-2024-3079 olarak etiketlenen bir arabellek taşması güvenlik açığına karşı hassastır. Bu güvenlik açığı, yönetici ayrıcalıklarına sahip uzak saldırganların cihazda keyfi komutlar yürütmesine olanak tanır ve potansiyel olarak tam bir tehlikeye yol açabilir.

Detaylar:

ASUS yönlendiricilerindeki arabellek taşması güvenlik açığı, kullanıcı tarafından sağlanan girdinin uygunsuz işlenmesinden kaynaklanır. Saldırganlar, etkilenen cihaza özel olarak hazırlanmış istekler göndererek, arabelleği taşarak ve yönlendiricinin işletim sistemi bağlamında keyfi komutlar yürüterek bu açığı istismar edebilir.

Risk değerlendirmesi:

Bu güvenlik açığının CVSS puanı henüz belirlenmediğinden, keyfi komut yürütme ve etkilenen cihazların tamamen tehlikeye atılması potansiyeli nedeniyle potansiyel olarak yüksek riskli olarak ele alınması önemlidir. Bu güvenlik açığının istismarı, yetkisiz erişime, veri sızdırılmasına ve daha fazla ağ istismarına yol açabilir.

Azaltma:

ASUS, tampon taşması güvenlik açığını gideren etkilenen yönlendirici modelleri için aygıt yazılımı güncellemeleri yayınlamalıdır. Kullanıcılara, istismar riskini azaltmak için kullanılabilir hale gelir gelmez yönlendiricilerini en son aygıt yazılımı sürümüne güncellemeleri şiddetle tavsiye edilir. Ek olarak, ağ yöneticileri güçlü erişim kontrolleri uygulamalı ve şüpheli etkinlik için cihaz günlüklerini düzenli olarak izlemelidir.

Trending

🛡️ CVE-2025 Emlak Yazılımlarında Güvenlik Açıkları

Critical SQL Injection Vulnerability in UISP Application

Metasploit

Intel® Bug Bounty Program

CyberSpace CTF 2024- Cuma, 30 Ağustos 2024

Securinets CTF Elemeleri 2024 -12 Ekim 2024 Cmt

MiVoice Office 400 SMB Controllerdaki Yeni Güvenlik Açıklıkları

ASUS CVE-2024-31163, CVE-2024-31162, CVE-2024-31161, CVE-2024-31160, CVE-2024-3080 ve CVE-2024-3079

ASUS CVE-2024-31163, CVE-2024-31162, CVE-2024-31161, CVE-2024-31160, CVE-2024-3080 ve CVE-2024-3079

Yorum Gönder

İletişim Formu