ASUS routers vulnerable to critical remote code execution flaws
2023/09/05 BleepingComputer — ASUS の RT-AX55/RT-AX56U_V2/RT-AC86U ルーター群には、3件の深刻なリモートコード実行の脆弱性が存在する。それらに対するセキュリティ更新プログラムがインストールされていない場合に、脆弱性の悪用に成功した脅威アクターにデバイスを乗っ取られる可能性が生じる。これらの3種類の WiFi ルーターは、コンシューマー・ネットワーキング市場で人気のハイエンド・モデルであり、現時点でも ASUS の Web サイトで入手できる。高いパフォーマンスを必要とする、ゲーマーなどのユーザーに支持されている。
脆弱性 CVE-2023-39238/CVE-2023-39239/CVE-2023-39240 は、認証なしでリモートから悪用できる、文字列フォーマットに関連する欠陥であり、いずれの CVSS v3.1 スコアも 9.8 である。悪用の結果として生じるリモート・コード実行/サービス中断に加えて、デバイス上での任意の操作も可能になるという。
この文字列フォーマットの欠陥は、特定の機能に関連するパラメータが用いられた際の、ユーザー入力に対する不適切な検証およびサニタイズに起因する。それにより、情報漏洩やコード実行なども、さまざまな問題が引き起こされる可能性がある。
攻撃者たちは、脆弱なデバイスに対して特別に細工された入力を送信し、これらの欠陥を悪用する。ASUS 製ルーターへの攻撃のケースでは、デバイス上の特定の管理 API 機能を、攻撃者たちは標的としている。
脆弱性
以下の3件の脆弱性が、本日の未明に Taiwanese CERT から公開されている:
- CVE-2023-39238: iperf 関連の API モジュール ‘ser_iperf3_svr.cgi’ における、入力フォーマット文字列の適切な検証の欠如。
- CVE-2023-39239: 一般的な機能を設定する API における、入力フォーマット文字列の適切な検証の欠如。
- CVE-2023-39240: iperf 関連の API モジュール ‘ser_iperf3_cli.cgi’ における、入力フォーマット文字列の適切な検証の欠如。
上記の問題は、ASUS の RT-AX55/RT-AX56U_V2/RT-AC86U の、ファームウェア・バージョン 3.0.0.4.386_50460/3.0.0.4.386_50460/3.0.0.4_386_51529 に影響する。
ASUS は、RT-AX55 については 2023年8月上旬に、AX56U_V2 については 2023年5月に、RT-AC86U については2023年7月に、それぞれの脆弱性に対応するパッチをリリースしている。
脆弱なバージョンを利用している場合には、以下のファームウェア・アップデートの適用が推奨される:
セキュリティ・アップデートが未適用の場合は、自分のデバイスが攻撃に対して脆弱であると考え、早急に対応を優先すべきだ。さらに、コンシューマ向けルーターの脆弱性の多くは、Web 管理コンソールを標的としているため、インターネットからのアクセスを防ぐために、リモート管理 (WAN Web Access) 機能をオフにすることが強く推奨される。
ASUS WiFi ルーターのハイエンド・モデルに脆弱性とのことです。深刻度の高い RCE 脆弱性なので、ご利用の方はご注意ください。直近の関連記事は、2023/06/19 の「ASUS ルーター群に緊急パッチ:対応が難しい場合には WAN アクセス遮断を推奨」です。よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.