立刻更新固件!华硕高端路由器曝出远程代码执行高危漏洞
2023-9-6 13:44:0 Author: hackernews.cc(查看原文) 阅读量:30 收藏

640

近日,华硕三款高端WiFi路由器(RT-AX55、RT-AX56U_V2和RT-AC86U)曝出三个远程代码执行高危漏洞(CVSSv3.1评分高达9.8分),黑客可远程访问并劫持用户路由器,建议以上三款产品用户立刻安装安全更新。

这三款WiFi路由器是消费级网络市场流行的高端型号,目前在华硕网站和各大电商平台上有售,深受游戏玩家和对性能需求较高的用户的青睐。

披露的三个高危漏洞都属于格式字符串漏洞,无需身份验证即可远程利用,可能允许远程代码执行、服务中断以及在设备上执行任意操作。

格式字符串漏洞是由于某些函数的格式字符串参数中未经验证和/或未经过滤的用户输入而引起的安全问题,包括信息泄露和代码执行。

中国台湾CERT本周二披露的三个漏洞的具体信息如下:

  • CVE-2023-39238:缺乏对iperf相关API模块“ser_iperf3_svr.cgi”上的输入格式字符串的正确验证。
  • CVE-2023-39239:通用设置函数的API中缺乏对输入格式字符串的正确验证。
  • CVE-2023-39240:缺乏对iperf相关API模块“ser_iperf3_cli.cgi”上的输入格式字符串的正确验证。

华硕官方推荐的解决方案是安装以下固件更新:

  • RT-AX55:3.0.0.4.386_51948或更高版本(https://www.asus.com/networking-iot-servers/wifi-routers/all-series/rt-ax55/helpdesk_bios/?model2Name=RT-AX55)
  • RT-AX56U_V2:3.0.0.4.386_51948或更高版本(https://www.asus.com/networking-iot-servers/wifi-6/all-series/rt-ax56u/helpdesk_bios/?model2Name=RT-AX56U)
  • RT-AC86U:3.0.0.4.386_51915或更高版本(https://www.asus.com/supportonly/rt-ac86u/helpdesk_bios/?model2Name=RT-AC86U)

华硕分别于2023年8月上旬针对RT-AX55、2023年5月针对AX56U_V2以及2023年7月针对RT-AC86U发布了修复这三个漏洞的补丁。

至今尚未安装安全更新的上述三款设备非常容易受到攻击,建议用户尽快更新固件版本。

此外,由于许多攻击针对消费者路由器的Web管理控制台,安全专家强烈建议用户关闭远程管理(WAN Web访问)功能以防止从互联网进行访问。


转自GoUpSec,原文链接:https://mp.weixin.qq.com/s/rNRfOnUIPFytBVL939WLEg

封面来源于网络,如有侵权请联系删除


文章来源: https://hackernews.cc/archives/45538
如有侵权请联系:admin#unsafe.sh