CVE-2021-32030

ASUS Routers

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2025-06-02

Официальное описание

ASUS Lyra Mini and ASUS GT-AC2900 devices contain an improper authentication vulnerability that allows an attacker to gain unauthorized access to the administrative interface. The impacted products could be end-of-life (EoL) and/or end-of-service (EoS). Users should discontinue product utilization.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2021-32030 представляет собой критическую уязвимость механизмов аутентификации (Improper Authentication) в сетевых устройствах ASUS Lyra Mini и GT-AC2900. Проблема заключается в некорректной проверке учетных данных при обращении к административному веб-интерфейсу.

Злоумышленник, имеющий сетевой доступ к устройству, может обойти процесс авторизации и получить полный административный контроль над роутером без знания логина и пароля. Это позволяет атакующему изменять настройки DNS, перехватывать трафик, устанавливать вредоносное ПО или использовать устройство для проведения DDoS-атак.

Как исправить

Данная уязвимость затрагивает устройства, которые достигли статуса End-of-Life (EoL) или End-of-Service (EoS). Это означает, что производитель прекратил выпуск официальных обновлений безопасности.

  1. Полная замена оборудования Единственным гарантированным способом устранения риска является замена уязвимых моделей на современные устройства, получающие регулярные патчи безопасности.

  2. Обновление прошивки (если доступно) Проверьте наличие последней доступной версии прошивки на официальном сайте ASUS. Если версия ПО выше даты обнаружения уязвимости (май 2021 года), установите её.

  3. Использование альтернативных прошивок Для модели GT-AC2900 рассмотрите возможность перехода на стороннее ПО с открытым исходным кодом (например, ASUSWRT-Merlin), если оно поддерживает данную ревизию железа и содержит исправления.

Временные меры

Если немедленная замена устройства невозможна, необходимо максимально ограничить поверхность атаки:

  1. Отключите удаленное управление (Remote Management) из внешней сети (WAN). Доступ к админ-панели должен быть возможен только из локальной сети (LAN).

  2. Отключите протокол UPnP и функцию WPS, чтобы минимизировать возможности автоматического проброса портов и несанкционированного подключения.

  3. Настройте фильтрацию по MAC-адресам для доступа к веб-интерфейсу, если прошивка это позволяет.

  4. Изолируйте устройство в отдельный сегмент сети (VLAN) и ограничьте доступ к его портам управления (80, 443) с помощью внешнего межсетевого экрана.

  5. Сбросьте настройки до заводских и установите сложные пароли, чтобы исключить наличие бэкдоров, оставленных предыдущими атаками.

nvram set web_acs_eth_path=0


nvram set upnp_enable=0


nvram commit


reboot
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей