导语:华硕还建议用户使用不同的密码来保护他们的无线网络和路由器管理页面,并确保密码长度至少为10个字符,由字母、数字和符号组成。
华硕称,启用AiCloud的路由器存在身份验证绕过漏洞,可能允许远程攻击者在设备上未经授权执行功能。
该漏洞在CVE-2025-2492下被跟踪,并被评为关键(CVSS v4得分:9.2),可以通过特制的请求远程利用,不需要身份验证,这使得它特别危险。
“在某些华硕路由器固件系列中存在不正确的身份验证控制漏洞,”供应商公告中写道。此漏洞可能由精心设计的请求触发,可能导致未经授权的功能执行。
AiCloud是一种基于云的远程访问功能,内置在许多华硕路由器中,将它们变成迷你的私有云服务器。
它允许用户从互联网上的任何地方访问连接到路由器的USB驱动器上存储的文件,远程流媒体,在家庭网络和其他云存储服务之间同步文件,并通过链接与他人共享文件。
在AiCloud中发现的漏洞影响了广泛的型号,华硕发布了多个固件分支的修复程序,包括3.0.443 - 82系列,3.0.443 - 86系列,3.0.443 - 88系列和3.0.0.6_102系列。
建议用户升级到适合其型号的最新固件版本,可以在供应商的支持门户网站或产品查找器页面上找到。关于如何应用固件更新的详细说明可以在这里找到。
华硕还建议用户使用不同的密码来保护他们的无线网络和路由器管理页面,并确保密码长度至少为10个字符,由字母、数字和符号组成。
建议受报废产品影响的用户完全关闭AiCloud服务,并关闭WAN、端口转发、DDNS、VPN服务器、DMZ、端口触发、FTP等服务的上网。
虽然目前还没有针对CVE-2025-2492的主动利用或公开概念验证漏洞的报告,但攻击者通常会针对这些漏洞用恶意软件感染设备或将其招募到DDoS群中。因此,强烈建议华硕路由器用户尽快升级到最新固件。
文章翻译自:https://www.bleepingcomputer.com/news/security/asus-warns-of-critical-auth-bypass-flaw-in-routers-using-aicloud/如若转载,请注明原文地址
