近日,华硕发布了固件更新,以修复影响多种路由器型号的 9 个安全漏洞等问题。该9个安全漏洞的严重程度,其中2个被评为严重,6个被评为高危,剩下1个还有待分析。
本次安全漏洞修复涉及到华硕如下产品,包括 GT6、GT-AXE16000、GT-AX11000 PRO、GT-AXE11000、GT-AX6000、GT-AX11000、GS-AX5400、GS-AX3000、XT9、XT8、XT8 V2、RT-AX86U PRO、RT -AX86U、RT-AX86S、RT-AX82U、RT-AX58U、RT-AX3000、TUF-AX6000 和 TUF-AX5400。
根据中国网络安全行业门户极牛网(GeekNB.com)的梳理,该9个安全漏洞中,最为严重的漏洞是 CVE-2018-1160 和 CVE-2022-26376,这两个漏洞在 CVSS 评分系统上的评分均为 9.8 分(满分 10 分)。
CVE-2018-1160 漏洞涉及 3.1.12 之前的 Netatalk 版本中存在近五年的越界写入缺陷,该缺陷可能允许未经身份验证的远程攻击者实现任意代码执行。
CVE-2022-26376 漏洞被描述为 Asuswrt 固件中的内存损坏漏洞,可以通过特制的 HTTP 请求触发。
其余的 7 个安全漏洞基本情况如下:
- CVE-2022-35401(CVSS 评分:8.1) – 身份验证绕过漏洞,可能允许攻击者发送恶意 HTTP 请求以获得对设备的完全管理访问权限。
- CVE-2022-38105(CVSS 评分:7.5)- 信息泄露漏洞,可被利用通过发送特制的网络数据包来访问敏感信息。
- CVE-2022-38393(CVSS 评分:7.5)- 拒绝服务 (DoS) 漏洞,可通过发送特制网络数据包触发。
- CVE-2022-46871(CVSS 评分:8.8)- 使用过时的 libusrsctp 库,该库可能使目标设备遭受其他攻击。
- CVE-2023-28702(CVSS 评分:8.8) – 命令注入缺陷,本地攻击者可利用该缺陷执行任意系统命令、破坏系统或终止服务。
- CVE-2023-28703(CVSS 评分:7.2) – 一个基于堆栈的缓冲区溢出漏洞,具有管理员权限的攻击者可以利用该漏洞执行任意系统命令、破坏系统或终止服务。
- CVE-2023-31195(CVSS 评分:N/A)- 中间对手 (AitM) 缺陷,可能导致用户会话被劫持。
建议用户尽快升级设备,更新到最新版本,以降低安全风险。作为缓解措施,建议用户禁用从 WAN 端访问的服务,以避免潜在的不必要的入侵。
热门跟贴