重大度がクリティカルの 3 件のリモート コード実行の脆弱性は、ASUS RT-AX55、RT-AX56U_V2、および RT-AC86U ルーターに影響し、セキュリティ アップデートがインストールされていない場合、攻撃者がデバイスを乗っ取る可能性があります。
これら 3 つの WiFi ルーターは、消費者向けネットワーキング市場で人気のあるハイエンド モデルで、現在 ASUS Web サイトで入手可能であり、厳しいパフォーマンスを必要とするゲーマーやユーザーに好まれています。
これらの欠陥はいずれも CVSS v3.1 スコアが 10.0 点中 9.8 点であり、認証なしでリモートから悪用できる形式文字列の脆弱性であり、リモートでコードが実行され、サービスが中断され、デバイス上で任意の操作が実行される可能性があります。
書式文字列の欠陥は、特定の関数の書式文字列パラメータ内のユーザー入力が検証されていない、またはサニタイズされていないことによって発生するセキュリティ上の問題です。情報漏洩やコード実行など、さまざまな問題を引き起こす可能性があります。
攻撃者は、脆弱なデバイスに送信される特別に作成された入力を使用して、これらの欠陥を悪用します。 ASUS ルーターの場合、デバイス上の特定の管理 API 機能がターゲットになります。
欠点
台湾の CERT によって本日初めに公開された 3 つの脆弱性は次のとおりです。
- CVE-2023-39238 : iperf 関連 API モジュール ‘ser_iperf3_svr.cgi’ の入力形式文字列の適切な検証が不足しています。
- CVE-2023-39239 : 一般設定関数の API における入力形式文字列の検証が適切に行われていません。
- CVE-2023-39240 : iperf 関連 API モジュール ‘ser_iperf3_cli.cgi’ の入力形式文字列の適切な検証が不足しています。
上記の問題は、それぞれファームウェア バージョン 3.0.0.4.386_50460、3.0.0.4.386_50460、および 3.0.0.4_386_51529 の ASUS RT-AX55、RT-AX56U_V2、および RT-AC86U に影響します。
推奨される解決策は、次のファームウェア アップデートを適用することです。
ASUSは、RT-AX55については2023年8月上旬に、AX56U_V2については2023年5月に、RT-AC86Uについては2023年7月に、3つの欠陥に対処するパッチをリリースしました。
それ以降セキュリティ アップデートを適用していないユーザーは、デバイスが攻撃に対して脆弱であることを考慮し、できるだけ早くアクションを優先する必要があります。
さらに、多くの消費者ルーターの欠陥は Web 管理コンソールをターゲットにしているため、リモート管理 (WAN Web アクセス) をオフにすることを強くお勧めします。 インターネットからのアクセスを防ぐ機能です。
Comments