CVE-2024-12912 & CVE-2024-13062: ASUS Routers at Risk
2025/01/02 SecurityOnline — ASUS が公開したセキュリティ勧告は、複数のルーター・モデルに影響を及ぼす、2つの脆弱性 CVE-2024-12912/CVE-2024-13062 (CVSS 7.2) に関するものだ。これらの脆弱性の悪用に成功した攻撃者は、脆弱性のあるデバイス上での任意のコマンド実行の可能性を手にする。
ASUS はアドバイザリで、「ASUS ルーターの AiCloud において、特定の ASUS ルーター・ファームウェア・シリーズに関連する、コマンド・インジェクションの脆弱性が発見された。これらの脆弱性が悪用されると、認証済みの攻撃者に対して、コマンド実行を許す可能性が生じる」と説明している。
すでに ASUS は、各ルーターに対する最新のファームウェア・バージョン (3.0.0.4_386/3.0.0.4_388/3.0.0.6_102 シリーズ) を提供し、これらの脆弱性に対処している。同社がユーザーに対して推奨するのは、最新のバージョンへの速やかなアップデートである。必要なアップデートは、ASUS のサポート・サイトか製品ページからダウンロードできる。
アップグレードが難しいユーザーに対しては、いくつかの緩和策が推奨されている:
- 強力なパスワードの使用:ワイヤレス・ネットワークとルーター管理ページに、別々のパスワードを使用する。少なくとも 10文字以上で、大文字/数字/記号を混ぜたパスワードを使用する。
- AiCloud の保護:AiCloud サービス内で、パスワード保護を有効化する。
- 外部サービスの無効化:リモート・アクセス/ポート転送/DDNS/VPN サーバ/DMZ/FTP などの、インターネットからアクセス可能なサービスを無効化する。
これらの脆弱性が浮き彫りにするのは、定期的なセキュリティ・アップデートと強固なパスワードの使用の重要性だ。ASUS はユーザーに対して、「デバイスとセキュリティ手続きを定期的に確認することで、さらなる安全を確保できる」と注意を促している。
詳細情報およびダウンロード・リンクについては、ASUS の公式セキュリティ勧告で確認できる。
ASUS のルーターに脆弱性が発生です。直近の関連ポストは、2024/06/15 の「ASUS ルーター製品7機種に深刻な脆弱性:認証バイパスなどの恐れ」となっています。よろしければ、ASUS で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.