多款华硕路由器被发现存在安全漏洞,其中不少漏洞被标记为"严重",通用漏洞评分系统(CVSS)评分为 9.8。同时,其余漏洞也被列为"高度"严重,CVSS 得分为 8.8 分。
这些漏洞由台湾计算机应急小组/协调中心(TWCERT/CC)披露,共有 8 个。成功利用这些漏洞后,攻击者可执行命令注入和远程代码执行(RCE)。
完整的漏洞列表以及路由器型号(即 RT-AC86U (AC2900)、RT-AX56U (AX1800) 和 RT-AX55 (AX1800))如下。这些信息已与漏洞注释(TVN)ID 和 CVE(常见漏洞和暴露)ID 一并列出:
- TVN-202309009 (ASUS RT-AX55, RT-AX56U_V2, RT-AC86U):
- Format String - 3: CVE-2023-39240
- TVN-202309008 (ASUS RT-AX55, RT-AX56U_V2, RT-AC86U):
- Format String - 2: CVE-2023-39239
- TVN-202309007 (ASUS RT-AX55, RT-AX56U_V2, RT-AC86U):
- Format String - 1: CVE-2023-39238
- TVN-202309006 (ASUS RT-AC86U):
- Command injection vulnerability - 5: CVE-2023-39237
- TVN-202309005 (ASUS RT-AC86U):
- Command injection vulnerability - 4: CVE-2023-39236
- TVN-202309004 (ASUS RT-AC86U):
- Command injection vulnerability - 3: CVE-2023-38033
- TVN-202309003 (ASUS RT-AC86U - ):
- Command injection vulnerability - 2: CVE-2023-38032
- TVN-202309002 (ASUS RT-AC86U):
- Command injection vulnerability - 1: CVE-2023-38031
您可以在下面的列表中找到路由器所需的固件更新,或从相应型号路由器的支持部分手动查找下载固件:
据 HKCERT 称,以下固件版本修补了该问题,但发布说明并未证实这一点:
应用供应商发布的修复程序:
- RT-AX55:更新至 3.0.0.4.386_51948 或更高版本
- RT-AX56U_V2: 更新至 3.0.0.4.386_51948 或更高版本
- RT-AC86U: 更新至 3.0.0.4.386_51915 或更高版本
如果您拥有上述三种型号的路由器,可以将这篇文章添加到书签中,然后再次访问,检查是否有适用的固件更新来修补这些缺陷。
