日前,华硕七种型号路由器曝出高危安全漏洞,漏洞被跟踪为 CVE-2024-3080(CVSS v3.1 评分:9.8“严重”),是一个身份验证绕过漏洞,允许未经身份验证的远程威胁攻击者控制设备。华硕方面在近日发布的固件更新中解决了安全漏洞问题。
安全漏洞主要影响以下路由器型号:
XT8 (ZenWiFi AX XT8) – Mesh WiFi 6 系统,提供速度高达 6600 Mbps 的三频覆盖、AiMesh 支持、AiProtection Pro、无缝漫游和“家长”控制;
XT8_V2 (ZenWiFi AX XT8 V2) – XT8 的更新版本,保持了类似的功能,增强了性能和稳定性;
RT-AX88U – 双频 WiFi 6 路由器,速度高达 6000 Mbps,具有 8 个 LAN 端口、AiProtection Pro 和用于游戏和流媒体的自适应 QoS;
RT-AX58U – 双频 WiFi 6 路由器,提供高达 3000 Mbps 的速度,支持 AiMesh、AiProtection Pro 和 MU-MIMO,可实现高效的多设备连接;
RT-AX57 – 专为基本需求而设计的双频 WiFi 6 路由器,提供高达 3000 Mbps 的速度,支持 AiMesh 和基本的“家长”控制;
RT-AC86U – 双频 WiFi 5 路由器,速度高达 2900 Mbps,具有 AiProtection、自适应 QoS 和游戏加速功能;
RT-AC68U – 双频 WiFi 5 路由器,提供高达 1900 Mbps 的速度,支持 AiMesh、AiProtection 和强大的“家长”控制;
安全漏洞曝出后,华硕建议用户应当尽快将设备更新到华硕下载门户上提供的最新固件版本(上述每个型号的链接),并表示固件更新说明也可以在“此常见问题解答”页面上找到。对于那些无法立即更新固件的用户,华硕建议应当设置更加复杂的 WiFi 密码(超过 10 个非连续字符)。
此外,华硕还建议用户立即禁用对管理面板的互联网访问、WAN 远程访问、端口转发、DDNS、VPN 服务器、DMZ 和端口触发器。
值得一提的的是,新发布的安全更新固件中还修复了另一个安全漏洞 CVE-2024-3079 ,这是一个高严重性 (7.2) 缓冲区溢出问题,需要管理员帐户访问权限才能利用。同时,研究人员还披露了安全漏洞 CVE-2024-3912,这是一个严重 (9.8) 任意固件上传漏洞,允许未经身份验证的远程威胁攻击者在设备上执行系统命令(CVE-2024-3912 安全漏洞影响了多个华硕路由器型号。
每个受影响模型的建议解决方案是:
DSL-N17U、DSL-N55U_C1、DSL-N55U_D1、DSL-N66U:升级至固件版本 1.1.2.3_792 或更高版本。
DSL-N12U_C1、DSL-N12U_D1、DSL-N14U、DSL-N14U_B1:升级至固件版本 1.1.2.3_807 或更高版本。
DSL-N16、DSL-AC51、DSL-AC750、DSL-AC52U、DSL-AC55U、DSL-AC56U:升级至固件版本 1.1.2.3_999 或更高版本。
DSL-N10_C1、DSL-N10_D1、DSL-N10P_C1、DSL-N12E_C1、DSL-N16P、DSL-N16U、DSL-AC52、DSL-AC55:已达到 EoL 日期,建议更换。
华硕方面在最新发布的下载主版本 3.1.0.114 解决了五个中高严重性问题,涉及任意文件上传、操作系统命令注入、缓冲区溢出、反映的 XSS 和存储的 XSS 安全问题。 尽管这些都不如 CVE-2024-3080 漏洞影响范围广、危害大,但还是建议用户应尽快将其实用程序升级到 3.1.0.114 或更高版本,以获得最佳的安全性和保护。
参考内参:
https://www.bleepingcomputer.com/news/security/asus-warns-of-critical-remote-authentication-bypass-on-7-routers/
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022