Twee kwetsbaarheden in een wifi-router van Asus maakten het mogelijk om volledige controle over het apparaat te krijgen. De fabrikant heeft inmiddels een update uitgebracht. Het eerste probleem met de Asus RT-AC1900P werd veroorzaakt doordat de router valse servercertificaten voor firmware-updates accepteerde. Een aanvaller tussen de router en het internet zou hier misbruik van kunnen maken.

De router maakt gebruik van de wget-tool voor het downloaden van updates van de Asus-server. Dit gebeurt via een beveiligde verbinding. Door een gebruikte wget-optie werd de geldigheid van het servercertificaat echter niet gecontroleerd. Een aanvaller zou zich zo als de Asus-server kunnen voordoen en laten weten dat er een update beschikbaar was. Bij dit onderdeel komt de tweede kwetsbaarheid om de hoek kijken.

De beheerdersinterface was namelijk kwetsbaar voor cross-site scripting. Het was mogelijk om de zogenaamde updatemelding van JavaScript te voorzien die automatisch werd uitgevoerd wanneer de beheerder op release notes voor de zogenaamde firmware-update klikte. Op deze manier was het mogelijk om de router volledig te compromitteren, stelt securitybedrijf Trustwave.

Asus werd op 17 december over de kwetsbaarheid geïnformeerd en bracht op 10 maart een beveiligingsupdate uit, zonder dit aan de onderzoeker die de problemen had gerapporteerd te melden. Een maand later werd de firmware-update ontdekt, maar Asus kon niet bevestigen dat beide problemen waren opgelost. Op 8 juni werd duidelijk dat dit het geval was. Daarop zijn gisteren de details van de kwetsbaarheden openbaar gemaakt. Volgens Trustwave maakt de router geen gebruik meer van de wget-optie waardoor het certificaat niet werd gecontroleerd en wordt invoer voor de pagina met de release notes nu gevalideerd.