吳明宜台灣電腦網路危機處理暨協調中心(TWCERT/CC)警告,華碩的三款高階Wi-Fi路由器存在重大安全漏洞。這些漏洞允許攻擊者在沒有權限的情況下執行遠端程式碼。華碩已釋出修復韌體,並呼籲用戶儘快安裝更新。
台灣電腦網路危機處理暨協調中心 (TWCERT/CC) 昨日警告,華碩三款知名 Wi-Fi 路由器傳出重大漏洞,可導致攻擊者在路由器裝置上為所欲為,包括遠端程式碼執行 (RCE) 。
三款路由器都遭到華碩最新三項漏洞波及,漏洞存在這些路由器韌體中的 iperf 網管 API 。源於輸入訊息的格式化字串驗證不足,使得攻擊者可藉由改造訊息參數濫用這些漏洞,不須權限即可利用此漏洞進行遠端程式碼執行,對設備進行任意操作或中斷服務。這三項漏洞分別為 CVE-2023-39238 、 CVE-2023-39239 及 CVE-2023-39240,全部皆為風險值 9.8 的重大漏洞。
三款受影響的路由器機種分別是 ASUS RT-AX55 、 RT-AX56U_V2 與 RT-AC86,都是目前都還在華碩網站上銷售,屬於高階機種,很受電玩用戶與有高效能需求的用戶歡迎。
華碩已經在 5 月到 8 月間針對三款路由器分別釋出最新版韌體 3.0.0.4.386_50460 、 3.0.0.4.386_50460 及 3.0.0.4_386_51529 版解決漏洞。
華碩和 TWCERT 呼籲用戶應及早安裝更新。此外由於許多家用路由器漏洞都存在於 Web 管理員控制台,因此消費者最好能關閉遠端管理員功能(WAN Web Access)以防被人從遠端存取路由器。
來源:TWCERT/CC