聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
该漏洞编号是CVE-2024-3080(CVSS v3.1 评分9.8),属于“严重”级别,是一个认证绕过漏洞,可导致未认证的远程攻击者控制设备。华硕公司表示该漏洞影响如下路由器型号:
XT8 (ZenWiFi AX XT8) – Mesh WiFi 6 系统,提供三频覆盖,速度可达6600 Mbps,AiMesh 支持,AiProtection Pro,无缝漫游和家长监护服务。
XT8_V2 (ZenWiFi AX XT8 V2) – XT8的更新版本,通过性能和稳定性增强维护类似特性。
RT-AX88U – 双频 WiFi 6 路由器,速度可达6000 Mbps,具有8个 LAN 端口,AiProtection Pro和适应性QoS,用于游戏和流服务。
RT-AX58U – 双频WiFi 6 路由器,速度可达3000 Mbps,具有 AiMesh支持,AiProtection Pro和MU-MIMO,实现有效的多设备连接。
RT-AX57 – 专为满足基础需求而设计的双频 WiFi 6 路由器,速度可达3000 Mbps,具有AiMesh 支持和基本的家长监护功能。
RT-AC86U – 双频 WiFi 5 路由器,速度可达2900 Mbps,具有AiProtection功能,适应性QoS 和游戏加速功能。
RT-AC68U – 双频 WiFi 5 路由器,速度可达1900 Mbps,具有AiMesh 支持,AiProtection和健壮的家长监护功能。
华硕建议将设备更新至下载门户网站提供的最新版本,另外可根据FAQ页面获得固件更新指南。如用户无法立即更新固件,则华硕建议使用强账户和WiFi 密码(超过10个的非连续性字符长度)。
另外,华硕建议禁用对管理员面板的互联网访问权限、从WAN进行远程访问、端口转发、DDNS、VPN服务器、DMZ和端口触发器。
另外,华硕还修复了一个高危的缓冲区溢出漏洞CVE-2024-3079,攻击者需要具有管理员账户访问权限才能利用该漏洞。另外,华硕还提醒用户注意CVE-2024-3912,它是一个严重的任意固件上传漏洞,可导致未认证的远程攻击者在设备上执行系统命令。该漏洞影响多个华硕路由器型号,但由于有些型号已达生命周期,因此将不会获得安全更新。每个受影响型号的解决方案如下:
DSL-N17U、DSL-N55U_C1、DSL-N55U_D1、DSL-N66U:更新至1.1.2.3_792 或后续版本。
DSL-N12U_C1、DSL-N12U_D1、DSL-N14U、DSL-N14U_B1:更新至1.1.2.3_807或后续版本。
DSL-N16、DSL-AC51、DSL-AC750、DSL-AC52U、DSL-AC55U、DSL-AC56U:更新至1.1.2.3_999 或后续版本。
DSL-N10_C1、DSL-N10_D1、DSL-N10P_C1、DSL-N12E_C1、DSL-N16P、DSL-N16U、DSL-AC52、DSL-AC55:已达生命周期,需要更换。
最后,华硕宣布 Download Master更新,它是华硕路由器使用的一款工具,可使用户直接通过 torrent、HTTP 或FTP管理并将文件下载到联网的USB存储设备。
本次发布的 Download Master 新版本3.1.0.114修复了多个高危漏洞,包括任意文件上传、操作系统命令注入、缓冲区溢出、反射型 XSS 和存储型XSS 问题等。尽管这些漏洞的严重性均不及CVE-2024-3080,但建议用户升级至3.1.0.114或后续版本,优化安全和防护力度。
https://www.bleepingcomputer.com/news/security/asus-warns-of-critical-remote-authentication-bypass-on-7-routers/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~