华硕已发布软件更新,以解决影响其路由器的一个严重安全漏洞,该漏洞可能被恶意行为者利用来绕过身份验证。
该漏洞的编号为CVE-2024-3080,CVSS 评分为 9.8(满分 10.0)。
根据台湾计算机应急响应小组/协调中心 (TWCERT/CC) 分享的漏洞描述,“某些华硕路由器型号存在身份验证绕过漏洞,允许未经身份验证的远程攻击者登录设备”。
该台湾公司还修补了一个高严重性缓冲区溢出漏洞,编号为CVE-2024-3079(CVSS 评分:7.2),具有管理权限的远程攻击者可以利用该漏洞在设备上执行任意命令。
在假设的攻击场景中,恶意行为者可以将 CVE-2024-3080 和 CVE-2024-3079 设计成漏洞利用链,以绕过身份验证并在易受攻击的设备上执行恶意代码。
这两个缺陷都会影响以下产品 –
- ZenWiFi XT8 版本 3.0.0.4.388_24609 及更早版本(已在 3.0.0.4.388_24621 中修复)
- ZenWiFi XT8 版本 V2 3.0.0.4.388_24609 及更早版本(已在 3.0.0.4.388_24621 中修复)
- RT-AX88U 版本 3.0.0.4.388_24198 及更早版本(已在 3.0.0.4.388_24209 中修复)
- RT-AX58U 版本 3.0.0.4.388_23925 及更早版本(已在 3.0.0.4.388_24762 中修复)
- RT-AX57 版本 3.0.0.4.386_52294 及更早版本(已在 3.0.0.4.386_52303 中修复)
- RT-AC86U 版本 3.0.0.4.386_51915 及更早版本(已在 3.0.0.4.386_51925 中修复)
- RT-AC68U 版本 3.0.0.4.386_51668 及更早版本(已在 3.0.0.4.386_51685 中修复)
今年 1 月初,华硕修补了另一个严重漏洞(CVE-2024-3912,CVSS 评分:9.8),该漏洞可能允许未经身份验证的远程攻击者上传任意文件并在设备上执行系统命令。
建议受影响路由器的用户更新到最新版本以防范潜在威胁。
