立刻更新固件!华硕高端路由器曝出远程代码执行高危漏洞
近日,华硕三款高端WiFi路由器(RT-AX55、RT-AX56U_V2和RT-AC86U)曝出三个远程代码执行高危漏洞(CVSSv3.1评分高达9.8分),黑客可远程访问并劫持用户路由器,建议以上三款产品用户立刻安装安全更新。
这三款WiFi路由器是消费级网络市场流行的高端型号,目前在华硕网站和各大电商平台上有售,深受游戏玩家和对性能需求较高的用户的青睐。
披露的三个高危漏洞都属于格式字符串漏洞,无需身份验证即可远程利用,可能允许远程代码执行、服务中断以及在设备上执行任意操作。
格式字符串漏洞是由于某些函数的格式字符串参数中未经验证和/或未经过滤的用户输入而引起的安全问题,包括信息泄露和代码执行。
中国台湾CERT本周二披露的三个漏洞的具体信息如下:
- CVE-2023-39238:缺乏对iperf相关API模块“ser_iperf3_svr.cgi”上的输入格式字符串的正确验证。
- CVE-2023-39239:通用设置函数的API中缺乏对输入格式字符串的正确验证。
- CVE-2023-39240:缺乏对iperf相关API模块“ser_iperf3_cli.cgi”上的输入格式字符串的正确验证。
华硕官方推荐的解决方案是安装以下固件更新:
- RT-AX55:3.0.0.4.386_51948或更高版本(https://www.asus.com/networking-iot-servers/wifi-routers/all-series/rt-ax55/helpdesk_bios/?model2Name=RT-AX55)
- RT-AX56U_V2:3.0.0.4.386_51948或更高版本(https://www.asus.com/networking-iot-servers/wifi-6/all-series/rt-ax56u/helpdesk_bios/?model2Name=RT-AX56U)
- RT-AC86U:3.0.0.4.386_51915或更高版本(https://www.asus.com/supportonly/rt-ac86u/helpdesk_bios/?model2Name=RT-AC86U)
华硕分别于2023年8月上旬针对RT-AX55、2023年5月针对AX56U_V2以及2023年7月针对RT-AC86U发布了修复这三个漏洞的补丁。
至今尚未安装安全更新的上述三款设备非常容易受到攻击,建议用户尽快更新固件版本。
此外,由于许多攻击针对消费者路由器的Web管理控制台,安全专家强烈建议用户关闭远程管理(WAN Web访问)功能以防止从互联网进行访问。