ASUS RT-AC88U Download Master bis 3.1.0.105 dm_apply.cgi erweiterte Rechte

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
5.7$0-$5k0.10

Eine problematische Schwachstelle wurde in ASUS RT-AC88U Download Master bis 3.1.0.105 gefunden. Dies betrifft eine unbekannte Verarbeitung der Datei /downloadmaster/dm_apply.cgi?action_mode=initial&download_type=General&special_cgi=get_language. Mittels Manipulieren mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-425. Die exakten Auswirkungen einer erfolgreichen Attacke sind bis dato nicht bekannt.

Die Schwachstelle wurde am 08.12.2020 durch Marc Ruef von scip AG als VDB-165677 in Form eines bestätigten Entrys (VulDB) herausgegeben. Bereitgestellt wird das Advisory unter vuldb.com. Eine Veröffentlichung wurde in Zusammenarbeit mit ASUS angestrebt. Die Verwundbarkeit wird mit der eindeutigen Identifikation CVE-2020-29656 gehandelt. Es sind technische Details sowie ein öffentlicher Exploit zur Schwachstelle bekannt. Als Angriffstechnik weist das MITRE ATT&CK Projekt die ID T1006 aus.

Ein öffentlicher Exploit wurde durch Marc Ruef umgesetzt und direkt nach dem Advisory veröffentlicht. Er wird als proof-of-concept gehandelt. Der Exploit wird unter vuldb.com bereitgestellt. Es dauerte mindestens 91 Tage, bis diese Zero-Day Schwachstelle öffentlich gemacht wurde. Während dieser Zeit erzielte er wohl etwa $0-$5k auf dem Schwarzmarkt.

Ein Aktualisieren auf die Version 3.1.0.108 vermag dieses Problem zu lösen.

Produktinfo

Hersteller

Name

CPE 2.3info

CPE 2.2info

CVSSv3info

VulDB Meta Base Score: 6.4
VulDB Meta Temp Score: 6.1

VulDB Base Score: 5.3
VulDB Temp Score: 4.8
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 7.5
NVD Vector: 🔍

CVSSv2info

AVACAuCIA
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
🔍🔍🔍🔍🔍🔍
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Klasse: Erweiterte Rechte
CWE: CWE-425
ATT&CK: T1006

Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Autor: Marc Ruef
Download: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍
Zuverlässigkeit: 🔍

0-Day Time: 🔍
Exploit Delay Time: 🔍

Upgrade: RT-AC88U Download Master 3.1.0.108

Timelineinfo

08.09.2020 🔍
08.09.2020 +0 Tage 🔍
08.12.2020 +91 Tage 🔍
08.12.2020 +0 Tage 🔍
08.12.2020 +0 Tage 🔍
09.12.2020 +0 Tage 🔍
13.12.2020 +4 Tage 🔍

Quelleninfo

Hersteller: asus.com

Advisory: VDB-165677
Person: Marc Ruef
Firma: scip AG
Status: Bestätigt
Koordiniert: 🔍

CVE: CVE-2020-29656 (🔍)
scip Labs: https://www.scip.ch/?labs.20161013

Eintraginfo

Erstellt: 08.12.2020 07:49
Aktualisierung: 13.12.2020 09:10
Anpassungen: 08.12.2020 07:49 (38), 08.12.2020 07:52 (23), 09.12.2020 09:20 (1), 13.12.2020 09:07 (2), 13.12.2020 09:10 (18)
Komplett: 🔍

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!