华硕(ASUS)已发布了一项固件更新,以修复一个严重程度极高的漏洞 ——CVE-2025-2492,其通用漏洞评分系统(CVSSv4)评分为 9.2。该漏洞影响了华硕的多个启用了 AiCloud 功能的路由器固件系列,可能会让攻击者远程执行未经授权的功能。
AiCloud 是许多华硕路由器中的一项功能,它支持基于云端的远程访问,基本上能将这些路由器变成个人云服务器。
CVE-2025-2492 于 2025 年 2 月被披露,被归类为身份验证控制不当漏洞。根据相关公告,该问题存在于特定版本的华硕路由器固件中,并且可能会 “被精心构造的请求触发,从而有可能导致未经授权地执行功能”。这意味着远程攻击者可以利用该漏洞绕过身份验证,访问路由器的敏感功能,进而危及网络以及与之连接的设备的安全。
以下固件系列受到影响:
(1)3.0.0.4_382
(2)3.0.0.4_386
(3)3.0.0.4_388
(4)3.0.0.6_102
华硕已在 2025 年 2 月之后发布的固件更新中修复了该漏洞。用户可以从华硕支持页面或特定的网络产品页面获取最新的固件。
华硕敦促所有用户立即更新其路由器的固件。在公告中,他们强调:“我们建议您定期检查您的设备和安全程序,这样会让您更加安全。”
此外,用户还应采取以下措施:
1.更新固件:始终使用从华硕官方网站获取的最新固件。
2.强化密码:为您的无线网络和路由器管理页面设置不同的、复杂的密码。华硕建议:“密码至少包含 10 个字符,并且混合使用大写字母、数字和符号。不要使用包含连续数字或字母的密码。”
3.禁用高风险服务:如果您无法迅速进行更新,或者正在使用已停产的路由器,华硕建议禁用以下服务:
(1)AiCloud
(2)广域网(WAN)的远程访问
(3)端口转发、动态域名服务(DDNS)、虚拟专用网络(VPN)服务器、非军事区(DMZ)、文件传输协议(FTP)以及端口触发
华硕警告称:“如果您无法迅速更新固件,建议您禁用任何可以从互联网访问的服务。”
发表评论
您还未登录,请先登录。
登录