北京
華碩稱,啟用AiCloud的路由器存在身份驗證繞過漏洞,可能允許遠程攻擊者在設備上未經(jīng)授權執(zhí)行功能。
該漏洞在CVE-2025-2492下被跟蹤,并被評為關鍵(CVSS v4得分:9.2),可以通過特制的請求遠程利用,不需要身份驗證,這使得它特別危險。
“在某些華碩路由器固件系列中存在不正確的身份驗證控制漏洞,”供應商公告中寫道。此漏洞可能由精心設計的請求觸發(fā),可能導致未經(jīng)授權的功能執(zhí)行。
AiCloud是一種基于云的遠程訪問功能,內(nèi)置在許多華碩路由器中,將它們變成迷你的私有云服務器。
它允許用戶從互聯(lián)網(wǎng)上的任何地方訪問連接到路由器的USB驅(qū)動器上存儲的文件,遠程流媒體,在家庭網(wǎng)絡和其他云存儲服務之間同步文件,并通過鏈接與他人共享文件。
在AiCloud中發(fā)現(xiàn)的漏洞影響了廣泛的型號,華碩發(fā)布了多個固件分支的修復程序,包括3.0.443 - 82系列,3.0.443 - 86系列,3.0.443 - 88系列和3.0.0.6_102系列。
建議用戶升級到適合其型號的最新固件版本,可以在供應商的支持門戶網(wǎng)站或產(chǎn)品查找器頁面上找到。關于如何應用固件更新的詳細說明可以在這里找到。
華碩還建議用戶使用不同的密碼來保護他們的無線網(wǎng)絡和路由器管理頁面,并確保密碼長度至少為10個字符,由字母、數(shù)字和符號組成。
建議受報廢產(chǎn)品影響的用戶完全關閉AiCloud服務,并關閉WAN、端口轉發(fā)、DDNS、VPN服務器、DMZ、端口觸發(fā)、FTP等服務的上網(wǎng)。
雖然目前還沒有針對CVE-2025-2492的主動利用或公開概念驗證漏洞的報告,但攻擊者通常會針對這些漏洞用惡意軟件感染設備或?qū)⑵湔心嫉紻DoS群中。因此,強烈建議華碩路由器用戶盡快升級到最新固件。
參考及來源:https://www.bleepingcomputer.com/news/security/asus-warns-of-critical-auth-bypass-flaw-in-routers-using-aicloud/
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺“網(wǎng)易號”用戶上傳并發(fā)布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
