点击上方蓝字关注我们测评你的薪资
黑客可远程访问并劫持用户路由器,建议以上三款产品用户立刻安装安全更新。
近日,华硕三款高端WiFi路由器(RT-AX55、RT-AX56U_V2和RT-AC86U)曝出三个远程代码执行高危漏洞(CVSSv3.1评分高达9.8分),黑客可远程访问并劫持用户路由器,建议以上三款产品用户立刻安装安全更新。
这三款WiFi路由器是消费级网络市场流行的高端型号,目前在华硕网站和各大电商平台上有售,深受游戏玩家和对性能需求较高的用户的青睐。
披露的三个高危漏洞都属于格式字符串漏洞,无需身份验证即可远程利用,可能允许远程代码执行、服务中断以及在设备上执行任意操作。
格式字符串漏洞是由于某些函数的格式字符串参数中未经验证和/或未经过滤的用户输入而引起的安全问题,包括信息泄露和代码执行。
中国台湾CERT本周二披露的三个漏洞的具体信息如下:
-
CVE-2023-39238:缺乏对iperf相关API模块“ser_iperf3_svr.cgi”上的输入格式字符串的正确验证。
-
CVE-2023-39239:通用设置函数的API中缺乏对输入格式字符串的正确验证。
-
CVE-2023-39240:缺乏对iperf相关API模块“ser_iperf3_cli.cgi”上的输入格式字符串的正确验证。
华硕官方推荐的解决方案是安装以下固件更新:
-
RT-AX55:3.0.0.4.386_51948或更高版本(https://www.asus.com/networking-iot-servers/wifi-routers/all-series/rt-ax55/helpdesk_bios/?model2Name=RT-AX55)
-
RT-AX56U_V2:3.0.0.4.386_51948或更高版本(https://www.asus.com/networking-iot-servers/wifi-6/all-series/rt-ax56u/helpdesk_bios/?model2Name=RT-AX56U)
-
RT-AC86U:3.0.0.4.386_51915或更高版本(https://www.asus.com/supportonly/rt-ac86u/helpdesk_bios/?model2Name=RT-AC86U)
华硕分别于2023年8月上旬针对RT-AX55、2023年5月针对AX56U_V2以及2023年7月针对RT-AC86U发布了修复这三个漏洞的补丁。
至今尚未安装安全更新的上述三款设备非常容易受到攻击,建议用户尽快更新固件版本。
此外,由于许多攻击针对消费者路由器的Web管理控制台,安全专家强烈建议用户关闭远程管理(WAN Web访问)功能以防止从互联网进行访问。
声明:本文来自Goupsec,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 下方微信。
安圈评现有人才资源群,有公司招聘和人员求职
高端人才共享群:①②③④
区域人才共享群:华南、华中、华东、西南、西北、东北、京津冀①②
进群请扫下方二维码 (备注公司全称+姓名)
如需发布公司招聘信息,请联系微信
找工作的小伙伴也可以联系我们哦(求职信息会在保护个人信息的前提下发布)
往期推荐
俄最大银行遭到最严重DDoS攻击,普京称正经历“信息空间战争”
欧洲刑警组织:Deepfakes对网络安全和社会的威胁越来越大
点个在看你最好看
原文始发于微信公众号(安圈评):华硕高端路由器曝出远程代码执行高危漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论