华硕警告称,启用 AiCloud 的路由器存在身份验证绕过漏洞,该漏洞可能允许远程攻击者在设备上执行未经授权的功能。
该漏洞编号为CVE-2025-2492,级别为严重(CVSS v4 评分:9.2),可通过特制请求进行远程利用,且无需身份验证,因此特别危险。
该供应商的公告中写道:“某些华硕路由器固件系列存在不当的身份验证控制漏洞。”
“此漏洞可能由精心设计的请求触发,可能导致未经授权的功能执行。”
AiCloud 是许多华硕路由器内置的基于云的远程访问功能,可将它们转变为微型私有云服务器。
它允许用户从互联网上的任何地方访问连接到路由器的 USB 驱动器上存储的文件、远程流媒体、在家庭网络和其他云存储服务之间同步文件以及通过链接与他人共享文件。
AiCloud 中发现的漏洞影响范围广泛,华硕已针对多个固件分支发布了修复程序,包括 3.0.0.4_382 系列、3.0.0.4_386 系列、3.0.0.4_388 系列和 3.0.0.6_102 系列。
建议用户升级到其型号的最新固件版本,您可以在供应商的支持门户或产品查找页面上找到该版本。有关如何应用固件更新的详细说明,请参阅此处。https://www.asus.com/support/faq/1008000/
华硕还建议用户使用不同的密码来保护他们的无线网络和路由器管理页面,并确保密码至少有 10 个字符长,并且包含字母、数字和符号。
建议受影响的停产产品用户完全禁用 AiCloud 并关闭 WAN、端口转发、DDNS、VPN 服务器、DMZ、端口触发和 FTP 服务的互联网访问。
虽然没有关于 CVE-2025-2492 被主动利用或公开概念验证利用的报告,但攻击者通常利用这些漏洞来感染带有恶意软件的设备或将其招募到 DDoS 群中。
因此强烈建议华硕路由器用户尽快升级到最新固件。
https://www.asus.com/content/asus-product-security-advisory/
原文始发于微信公众号(独眼情报):华硕警告称,启用 AiCloud 的路由器存在身份验证绕过漏洞CVE-2025-2492(9.2)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论