華碩稱，啟用AiCloud的路由器存在身份驗證繞過漏洞，可能允許遠程攻擊者在設備上未經(jīng)授權(quán)執(zhí)行功能。

該漏洞在CVE-2025-2492下被跟蹤，并被評為關鍵（CVSS v4得分：9.2），可以通過特制的請求遠程利用，不需要身份驗證，這使得它特別危險。

“在某些華碩路由器固件系列中存在不正確的身份驗證控制漏洞，”供應商公告中寫道。此漏洞可能由精心設計的請求觸發(fā)，可能導致未經(jīng)授權(quán)的功能執(zhí)行。

AiCloud是一種基于云的遠程訪問功能，內(nèi)置在許多華碩路由器中，將它們變成迷你的私有云服務器。

它允許用戶從互聯(lián)網(wǎng)上的任何地方訪問連接到路由器的USB驅(qū)動器上存儲的文件，遠程流媒體，在家庭網(wǎng)絡和其他云存儲服務之間同步文件，并通過鏈接與他人共享文件。

在AiCloud中發(fā)現(xiàn)的漏洞影響了廣泛的型號，華碩發(fā)布了多個固件分支的修復程序，包括3.0.443 - 82系列，3.0.443 - 86系列，3.0.443 - 88系列和3.0.0.6_102系列。

建議用戶升級到適合其型號的最新固件版本，可以在供應商的支持門戶網(wǎng)站或產(chǎn)品查找器頁面上找到。關于如何應用固件更新的詳細說明可以在這里找到。

華碩還建議用戶使用不同的密碼來保護他們的無線網(wǎng)絡和路由器管理頁面，并確保密碼長度至少為10個字符，由字母、數(shù)字和符號組成。

建議受報廢產(chǎn)品影響的用戶完全關閉AiCloud服務，并關閉WAN、端口轉(zhuǎn)發(fā)、DDNS、VPN服務器、DMZ、端口觸發(fā)、FTP等服務的上網(wǎng)。

雖然目前還沒有針對CVE-2025-2492的主動利用或公開概念驗證漏洞的報告，但攻擊者通常會針對這些漏洞用惡意軟件感染設備或?qū)⑵湔心嫉紻DoS群中。因此，強烈建議華碩路由器用戶盡快升級到最新固件。

參考及來源：https://www.bleepingcomputer.com/news/security/asus-warns-of-critical-auth-bypass-flaw-in-routers-using-aicloud/