近期,華碩官方發(fā)布緊急安全公告,指出啟用AiCloud功能的路由器存在嚴(yán)重身份驗(yàn)證繞過(guò)漏洞(CVE-2025-2492),該漏洞可能被遠(yuǎn)程攻擊者利用,在無(wú)需身份驗(yàn)證的情況下對(duì)設(shè)備執(zhí)行操作,CVSS評(píng)分高達(dá)9.2,屬于高危漏洞。為避免數(shù)據(jù)泄露或設(shè)備被惡意控制,請(qǐng)立即升級(jí)固件!
漏洞詳情
漏洞影響:攻擊者可通過(guò)構(gòu)造特定請(qǐng)求繞過(guò)身份驗(yàn)證,遠(yuǎn)程訪問(wèn)并控制受影響的路由器,可能竊取存儲(chǔ)在USB設(shè)備中的文件、植入惡意程序或發(fā)起DDoS攻擊。
受影響型號(hào):多個(gè)華碩路由器型號(hào)存在風(fēng)險(xiǎn),具體型號(hào)需通過(guò)華碩官網(wǎng)或支持頁(yè)面查詢。
漏洞根源:固件中不當(dāng)?shù)纳矸蒡?yàn)證控制導(dǎo)致認(rèn)證機(jī)制失效。
華碩已針對(duì)多個(gè)固件分支發(fā)布修復(fù)補(bǔ)丁,包括3.0.0.4_382系列、3.0.0.4_386系列、3.0.0.4_388系列及3.0.0.6_102系列。用戶需立即執(zhí)行以下操作:
檢查當(dāng)前固件版本:登錄路由器管理界面(默認(rèn)地址192.168.1.1或192.168.0.1),在“系統(tǒng)設(shè)置”或“系統(tǒng)信息”中查看版本號(hào)。
下載并升級(jí)固件:訪問(wèn)華碩官網(wǎng)支持頁(yè)面,選擇對(duì)應(yīng)型號(hào)的最新固件,下載后通過(guò)管理界面“系統(tǒng)工具”→“固件升級(jí)”完成更新。
強(qiáng)化安全配置:
使用復(fù)雜密碼(至少10位,包含字母、數(shù)字和符號(hào))保護(hù)無(wú)線網(wǎng)絡(luò)和管理頁(yè)面。
在AiCloud服務(wù)中啟用密碼保護(hù),防止未經(jīng)授權(quán)的訪問(wèn)。
禁用不必要的互聯(lián)網(wǎng)訪問(wèn)服務(wù)(如端口轉(zhuǎn)發(fā)、DDNS、DMZ等)。
??特殊情況處理建議:
已停止支持的設(shè)備:建議完全禁用AiCloud功能,并關(guān)閉所有可通過(guò)互聯(lián)網(wǎng)訪問(wèn)的服務(wù),降低風(fēng)險(xiǎn)。
無(wú)法立即升級(jí)的用戶:確保登錄和WiFi密碼為強(qiáng)密碼,并限制外部網(wǎng)絡(luò)訪問(wèn)。
官方鏈接: https://www.asus.com/content/asus-product-security-advisory/
