U radu Asus RT-N56U bežičnog usmjerivača uočena je sigurnosna ranjivost. Ranjivost se javlja jer usmjerivač ne ograničava pristup stranici koja prikazuje konfiguraciju uređaja (QIS_wizard.htm?flag=detect). Uočenu ranjivost napadači mogu iskoristiti za otkrivanje osjetljivih informacija uključujući administratorsku lozinku. Svim se korisnicima preporuča nadogradnja na novu, ispravljenu, inačicu.

_______________________________________________________________________________

ID upozorenja: ADV-LSS-2011-08-050
Naslov: Otklonjena ranjivost bezicnog usmjernika Asus RT-N56U 
Datum: 2011-08-31
Programski paket: Asus RT-N56U Wireless Router
Tip sigurnosnog problema: otkrivanje osjetljivih informacija
Rizik: Srednji
_______________________________________________________________________________

[1]  Uvod

Prilikom upotrebe bezicnog usmjerivaca Asus RT-N56U uocena je sigurnosna ranjivost. 

Radi se o bezicnom usmjerivacu koji udvostrucuje bezicne performanse i propusnost. 
Bitnije od njegovih karakteristika su:

- fleksibilnost i jednostavnost postavljanja,
- omogucuje i do 300 000 podatkovnih sjednica i dr.

Vise informacija o spomenutom usmjerivacu moguce je pogledati na sljedecoj web adresi:

http://www.asus.com/Networks/Wireless_Routers/RTN56U/ 

-------------------------------------------------------------------------------

[2]  Sigurnosni problem

Ranjivost uocena u radu bezicnog usmjerivaca Asus RT-N56U zlonamjernim napadacima omogucuje otkrivanje osjetljivih podataka.

-------------------------------------------------------------------------------

[3]  Sigurnosna zastita

Svim se korisnicima preporuca nadogradnja na inacicu 1.0.1.4o.

-------------------------------------------------------------------------------

[4]  Analiza

Sigurnosni propust javlja se jer usmjerivac ne ogranicava pristup stranici koja prikazuje konfiguraciju uredjaja (QIS_wizard.htm?flag=detect), a napadacima omogucuje otkrivanje osjetljivih informacija prikazujuci administratorsku lozinku.

Ranivost je potvrdjena u inacici 1.0.1.4.

-------------------------------------------------------------------------------

[5]  Credit

Informacije o propustu otkrio je:

Plucky preko US-CERT.

Tekst izvorne preporuke nalazi se na sljedecoj web adresi:

http://www.kb.cert.org/vuls/id/200814

-------------------------------------------------------------------------------

[6]  LSS/ZESOI/FER  

LSS, www.lss.hr - laboratorij za sustave i signale pri Zavodu za elektronicke 
  sustave i obradbu informacija Fakulteta elektrotehnike i racunarstva  
  Sveucilista u Zagrebu  

_______________________________________________________________________________