吳明宜華碩7款家用路由器爆出重大漏洞,攻擊者可登入裝置,華碩緊急發佈韌體更新解決。
華碩 7 款家用路由器爆出能讓攻擊者登入裝置的重大漏洞,華碩緊急發佈韌體更新解決。
編號 CVE-2024-3080 的漏洞為一驗證繞過漏洞,位於產品韌體中,可允許未經授權的遠端攻擊者控制裝置。該漏洞風險值達 9.8,屬重大漏洞。
在接獲一名資安研究人員的通報後,華碩已釋出更新。受影響的產品包括家用路由器 ZenWiFi XT8 、 ZenWiFi XT8 V2,以及重度消費性用途如電玩適用的 RT-AX88U 、 RT-AX58U 、 RT-AX57 、 RT-AC86U 及 RT-AC68U 。不過不是所有上述裝置都能獲得修補,因為已經有些來到生命周期終點 (EoL) 終止更新。
華碩建議用戶及早下載安裝最新版韌體。韌體更新在此下載(各型號分別下載)。而無需立即安裝韌體的用戶,華碩建議用戶變更密碼,並且使用最少 10 位元的混合字元密碼。此外該公司也建議關閉管理員控制台、 WAN 遠端存取、通訊埠轉發 (port forwarding) 、動態 DNS (DDNS) 、 VPN 伺服器、 DMZ 與通訊埠觸發程式的網際網路存取通道。
華碩同一天還修補了 CVE-2024-3079,它是緩衝溢位漏洞,但攻擊者需要能實際存取管理員帳號,因此風險值降為 7.2 。
此外,華碩也提供下載大師 (Download Master) 新版本以解決安全漏洞。下載大師是華碩路由器上的公用程式,可用於管理並直接下載檔案到 USB 儲存裝置上。最新的 Download Master 3.1.0.114 版本解決 5 項漏洞,分別是任意檔案上傳、 OS 指令注入、緩衝區溢位、反射式 XSS 以及儲存式 XSS 等。雖然這些漏洞風險值僅 4.2,但華碩仍建議用戶升級最新版本以策安全。