Një cenueshmëri sigurie që prek Paketën e Testimit Wi-Fi mund të lejojë sulmuesit lokalë të paautentifikuar të ekzekutojnë kod arbitrar me privilegje të avancuara.
Qendra e Koordinimit CERT (CERT/CC) tha se cenueshmëria, e identifikuar si CVE-2024-41992, vjen nga kodi i prekshëm i Aleancës Wi-Fi dhe është gjetur i implementuar në ruterat Arcadyan FMIMG51AX000J.
“Kjo cenueshmëri lejon një sulmues të paautentifikuar lokal të shfrytëzojë Paketën e Testimit Wi-Fi duke dërguar paketa të krijuara posaçërisht, duke mundësuar ekzekutimin e komandave arbitrare me privilegje ‘root’ në ruterat e prekur,” tha CERT/CC në një këshillë të lëshuar të mërkurën.
**Kibernetikë**
Wi-Fi Test Suite është një platformë e integruar e zhvilluar nga Aleanca Wi-Fi që automatizon testimin e përbërësve ose pajisjeve Wi-Fi. Ndërsa komponentët me burim të hapur të paketës janë të disponueshëm publikisht, paketa e plotë është në dispozicion vetëm për anëtarët e saj.
SSD Secure Disclosure, e cila publikoi detajet e cenueshmërisë në gusht 2024, e përshkroi atë si një rast të injektimit të komandave që mund të lejojë një aktor të kërcënimit të ekzekutojë komanda me privilegje ‘root’. Kjo u raportua fillimisht në Aleancën Wi-Fi në prill 2024.
Një studiues i pavarur, i njohur me pseudonimin online “fj016,” është kredituar për zbulimin dhe raportimin e këtyre mangësive të sigurisë. Studiuesi gjithashtu ka publikuar një shfrytëzim të provës së konceptit (PoC) për cenueshmërinë.
CERT/CC vuri në dukje se Wi-Fi Test Suite nuk është projektuar për përdorim në mjedise prodhimi, dhe megjithatë është zbuluar në implementime komerciale të ruterve.
“Një sulmues që shfrytëzon me sukses këtë cenueshmëri mund të fitojë kontroll të plotë administrativ mbi pajisjen e prekur,” u tha.
“Me këtë akses, sulmuesi mund të modifikojë cilësimet e sistemit, të ndërpresë shërbimet kritike të rrjetit, ose të rivendosë plotësisht pajisjen. Këto veprime mund të rezultojnë në ndërprerje të shërbimit, komprometim të të dhënave të rrjetit dhe humbje të mundshme të shërbimit për të gjithë përdoruesit që varen nga rrjeti i prekur.”
**Kibernetikë**
Në mungesë të një arnim nga prodhuesi tajvanez i ruterave, prodhuesve të tjerë që kanë përfshirë Wi-Fi Test Suite u rekomandohet ose ta heqin plotësisht nga pajisjet e prodhimit ose ta përditësojnë në versionin 9.0 ose më të lartë për të zvogëluar rrezikun e shfrytëzimit.
The Hacker News ka kontaktuar Aleancën Wi-Fi për një koment të mëtejshëm, dhe ne do të përditësojmë historinë kur të marrim përgjigje.