近日,華碩三款高階WiFi路由器(RT-AX55、RT-AX56U_V2和RT-AC86U)警告三個遠端程式碼執行高危險漏洞(CVSSv3.1評分高達9.8分),駭客可遠端存取並劫持用戶路由器,建議以上三款產品使用者立刻安裝安全更新。
這三款WiFi路由器是消費市場流行的高階型號,目前在華碩網站和各大電商平臺上皆有售,深受遊戲玩家和對性能需求較高的使用者的青睞。
目前披露的三個高危險漏洞都屬於格式字串漏洞,無需身份驗證即可遠端利用,可能允許遠端t程式碼執行、服務中斷以及在設備上執行任意操作。
格式字串漏洞是由於某些函數的格式字串參數中未經驗證和或未經過濾的用戶輸入而引起的安全問題,包括資訊洩露和程式碼執行。
三個漏洞的資訊如下:
- CVE-2023-39238:缺乏對iperf相關API模組ser_iperf3_svr.cgi上的輸入格式字串的正確驗證。
- CVE-2023-39239:通用設置函數的API中缺乏對輸入格式字串的正確驗證。
- CVE-2023-39240:缺乏對iperf相關API模組ser_iperf3_cli.cgi上的輸入格式字串的正確驗證。
華碩官方推薦的解決方案是安裝以下韌體更新:
- RT-AX55:3.0.0.4.386_51948或更高版本
- RT-AX56U_V2:3.0.0.4.386_51948或更高版本
- RT-AC86U:3.0.0.4.386_51915或更高版本
華碩分別於2023年8月上旬針對RT-AX55、2023年5月針對AX56U_V2以及2023年7月針對RT-AC86U發佈了這三個漏洞的修補。
相關文章:華碩路由器韌體更新,曝光關鍵漏洞
至今尚未安裝安全更新的上述三款設備非常容易受到攻擊,建議用戶儘快更新韌體版本。此外,由於許多攻擊針對消費者路由器的Web管理主控台,安全專家強烈建議用戶關閉遠端系統管理(WAN Web訪問)功能以防止從網路進行訪問。