ASUS warns of critical remote authentication bypass on 7 routers
2024/06/15 BleepingComputer — ASUS がリリースしたのは、7機種のルーターに影響をおよぼす認証バイパスの脆弱性 CVE-2024-3080 (CVSS:9.8) に対処する、ファームウェア・アップデートである。この脆弱性は、認証されていないリモートの攻撃者によるデバイスの制御を可能にするものだ。
![](https://iototsecnews.jp/wp-content/uploads/2024/06/asus.png?w=776)
ASUSによると、この問題は以下のルーター。モデルに影響するという:
- XT8 (ZenWiFi AX XT8) – 最大 6600Mbps の通信速度/AiMeshサポート/AiProtection Pro/シームレス・ローミング/ペアレンタル・コントロールを備えたトライバンド (3帯域) カバレッジの Mesh WiFi 6 システム。
- XT8_V2 (ZenWiFi AX XT8 V2) – XT8 のアップデート・バージョンで、同じ機能に対してパフォーマンスと安定性が強化された。
- RT-AX88U – 最大 6000Mbps の通信速度/8つのLANポート/AiProtection Pro/ゲームやストリーミング向けのアダプティブ QoS を搭載した、デュアルバンド WiFi 6 ルーター。
- RT-AX58U – 最大 3000Mbps の通信速度/AiMeshサポート/AiProtection Pro/効率的なマルチデバイス接続のための MU-MIMO を搭載した、デュアルバンド WiFi 6 ルーター。
- RT-AX57 – ベーシック・ユーザー向けに設計され、最大 3000 Mbps の通信速度/AiMeshサポート/基本的なペアレンタル・コントロール機能を搭載した、デュアルバンド WiFi 6ルーター。
- RT-AC86U – 最大 2900 Mbps の通信速度/AiProtection/アダプティ ブQoS/ゲーム・アクセラレーションを搭載した、デュアルバンド WiFi 5 ルーター。
ASUS が推奨しているのは、ダウンロード・ポータル (上記の各モデルへのリンク) で入手可能な、最新バージョンのファームウェア・アップデートだ。アップデートの手順は、この FAQ ページを参照して欲しい。
また、最新のファームウェアへと直ちにアップデートできない場合には、強固なアカウントと WiFi のパスワード (連続しない 10文字以上) に変更するよう、ASUS は提案している。
さらに推奨されるのは、管理パネルへのインターネット・アクセス/WAN からのリモートアクセス/ポート・フォワーディング/DDNS/VPNサーバー/DMZ/ポート・トリガーの無効化である。
同じパッケージで対処されている、もう1つの脆弱性 CVE-2024-3079 (CVSS:7.2) は、バッファ・オーバーフローの問題であり、悪用するためには管理者アカウントへのアクセスが必要である。
昨日に TWCERT/CC は、CVE-2024-3912 (CVSS:9.8) についての情報を公開した。Teanble によると、この脆弱性の悪用に成功した未承認のリモート攻撃者には、任意のファームウェア・アップロードが許されてしまい、デバイス上でのシステム・コマンドの実行にいたる可能性が生じる。
この脆弱性は、ASUS のルーター製品群に影響を与えるが、それらは EOL 状態のため、すべてのモデルに対してセキュリティ・アップデートが提供されるわけではない。
影響を受けるモデルごとに、以下の解決策が提案されている:
- DSL-N17UDSL-N55U_C1/DSL-N55U_D1/DSL-N66U: ファームウェアのバージョンを 1.1.2.3_792 以降にアップグレードする。
- DSL-N12U_C1/DSL-N12U_D1/DSL-N14U/DSL-N14U_B1:ファームウェアのバージョンを 1.1.2.3_807 以降にアップグレードする。
- DSL-N16/DSL-AC51/DSL-AC750/DSL-AC52U/DSL-AC55U/DSL-AC56U:ファームウェアのバージョンを 1.1.2.3_999 以降にアップグレードする。
- DSL-N10_C1/DSL-N10_D1/DSL-N10P_C1/DSL-N12E_C1/DSL-N16P/DSL-N16U/DSL-AC52/DSL-AC55:EOL 期限に達しているため、交換が推奨される。
Download Master のセキュリティ・アップデート
最後になるが、ASUS は Download Master のアップデートを発表した。ASUS ルーターで使用されるユーティリティのことであり、それを使用するユーザーは、torrent/HTTP/FTP 経由で接続された USB ストレージ・デバイスに、ダイレクトにファイルをダウンロードし、管理できる。
新たにリリースされた Download Master 3.1.0.114 では、任意のファイル・アップロード/OS コマンド・インジェクション/バッファ・オーバーフロー/反射型 XSS/保存型 XSS の、5件の脆弱性 (Medium〜High) が対処されている。
いずれも、CVE-2024-3080 ほど深刻ではないが、ユーザーに推奨されるのは、ユーティリティをバージョン 3.1.0.114 以降にアップグレードし、最適なセキュリティと保護を実現することだ。
ASUS のルーター群に複数の脆弱性です。いつながら、この領域の脆弱性が多いと感じです。身近なところでは、2024/06/02 の「SkyBridge Router 群の脆弱性 CVE-2024-32850 が FIX:任意のコマンド実行などの恐れ」がありました。よろしければ、Router で検索も、ご利用ください。
You must be logged in to post a comment.