北京
華碩稱,啟用AiCloud的路由器存在身份驗證繞過漏洞,可能允許遠程攻擊者在設備上未經授權執行功能。
該漏洞在CVE-2025-2492下被跟蹤,并被評為關鍵(CVSS v4得分:9.2),可以通過特制的請求遠程利用,不需要身份驗證,這使得它特別危險。
“在某些華碩路由器固件系列中存在不正確的身份驗證控制漏洞,”供應商公告中寫道。此漏洞可能由精心設計的請求觸發,可能導致未經授權的功能執行。
AiCloud是一種基于云的遠程訪問功能,內置在許多華碩路由器中,將它們變成迷你的私有云服務器。
它允許用戶從互聯網上的任何地方訪問連接到路由器的USB驅動器上存儲的文件,遠程流媒體,在家庭網絡和其他云存儲服務之間同步文件,并通過鏈接與他人共享文件。
在AiCloud中發現的漏洞影響了廣泛的型號,華碩發布了多個固件分支的修復程序,包括3.0.443 - 82系列,3.0.443 - 86系列,3.0.443 - 88系列和3.0.0.6_102系列。
建議用戶升級到適合其型號的最新固件版本,可以在供應商的支持門戶網站或產品查找器頁面上找到。關于如何應用固件更新的詳細說明可以在這里找到。
華碩還建議用戶使用不同的密碼來保護他們的無線網絡和路由器管理頁面,并確保密碼長度至少為10個字符,由字母、數字和符號組成。
建議受報廢產品影響的用戶完全關閉AiCloud服務,并關閉WAN、端口轉發、DDNS、VPN服務器、DMZ、端口觸發、FTP等服務的上網。
雖然目前還沒有針對CVE-2025-2492的主動利用或公開概念驗證漏洞的報告,但攻擊者通常會針對這些漏洞用惡意軟件感染設備或將其招募到DDoS群中。因此,強烈建議華碩路由器用戶盡快升級到最新固件。
參考及來源:https://www.bleepingcomputer.com/news/security/asus-warns-of-critical-auth-bypass-flaw-in-routers-using-aicloud/
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
