ASUS

ASUSは、ルーター7機種に影響する、リモート攻撃者が機器にログインできる脆弱性に対処した新しいファームウェア・アップデートをリリースした。

CVE-2024-3080(CVSSv3.1スコア:9.8 “critical”)として追跡されているこの欠陥は、認証バイパスの脆弱性であり、認証されていないリモートの攻撃者がデバイスを制御することを可能にする。

ASUSによると、この問題は以下のルーターモデルに影響するという:

  • XT8(ZenWiFi AX XT8)– 最大6600 Mbps、AiMeshサポート、AiProtection Pro、シームレスローミング、ペアレンタルコントロールを備えたトライバンドカバレッジのメッシュWiFi 6システム。
  • XT8_V2(ZenWiFi AX XT8 V2)– XT8のアップデートバージョンで、同様の機能はそのままに、パフォーマンスと安定性が強化されています。
  • RT-AX88U– 最大6000MbpsのデュアルバンドWiFi 6ルーター、8つのLANポート、AiProtection Pro、ゲームやストリーミング向けのアダプティブQoSを搭載。
  • RT-AX58U– 最大3000 MbpsのデュアルバンドWiFi 6ルーター、AiMeshサポート、AiProtection Pro、効率的なマルチデバイス接続のためのMU-MIMOを搭載。
  • RT-AX57– AiMeshサポートと基本的なペアレンタルコントロール機能を搭載し、最大3000 Mbpsを提供する基本的なニーズ向けに設計されたデュアルバンドWiFi 6ルーター。
  • RT-AC86U– デュアルバンドWiFi 5ルーター、最大2900 Mbps、AiProtection、アダプティブQoS、ゲームアクセラレーション機能搭載。
  • RT-AC68U– 最大1900 MbpsのデュアルバンドWiFi 5ルーター、AiMeshサポート、AiProtection、堅牢なペアレンタルコントロールを搭載。

ASUSは、ダウンロードポータル(上記の各モデルへのリンク)で入手可能な最新バージョンのファームウェアにアップデートすることを推奨しています。ファームウェアアップデートの手順は、このFAQページでご覧いただけます。

ファームウェアをすぐにアップデートできない場合は、アカウントとWiFiのパスワードが強固なもの(連続しない10文字以上のもの)であることを確認するよう、ベンダーは提案している。

さらに、管理パネルへのインターネットアクセス、WANからのリモートアクセス、ポートフォワーディング、DDNS、VPNサーバー、DMZ、ポートトリガーを無効にすることを推奨する。

同じパッケージで対処されているもう1つの脆弱性は、CVE-2024-3079で、悪用するには管理者アカウントへのアクセスを必要とする高重度(7.2)のバッファオーバーフローの問題である。

台湾の CERT は、昨日の投稿でCVE-2024-3912についても通知しており、これは、認証されていないリモートの攻撃者がデバイス上でシステムコマンドを実行することを可能にする、重大な(9.8)任意のファームウェアアップロードの脆弱性である。

この不具合は、ASUS の複数のルーターモデルに影響を与えますが、製造終了(EoL)に達したため、すべてのモデルにセキュリティアップデートが提供されるわけではありません。

影響を受けるモデルごとに提案されている解決策は以下の通りです:

  • DSL-N17U、DSL-N55U_C1、DSL-N55U_D1、DSL-N66U:ファームウェアバージョン 1.1.2.3_792 以降にアップグレードする。
  • dsl-n12u_c1、dsl-n12u_d1、dsl-n14u、dsl-n14u_b1:ファームウェアバージョン 1.1.2.3_807 以降にアップグレードしてください。
  • dsl-n16、dsl-ac51、dsl-ac750、dsl-ac52u、dsl-ac55u、dsl-ac56u:ファームウェアバージョン 1.1.2.3_999 以降にアップグレードしてください。
  • DSL-N10_C1、DSL-N10_D1、DSL-N10P_C1、DSL-N12E_C1、DSL-N16P、DSL-N16U、DSL-AC52、DSL-AC55:EoL 日付に達したため、交換を推奨します。

マスターセキュリティアップデートのダウンロード

ASUS は最後に、ASUS ルーターで使用され、ユーザーがトレント、HTTP、または FTP 経由でファイルを管理し、接続された USB ストレージデバイスに直接ダウンロードできるユーティリティ、Download Master のアップデートを発表しました。

今回リリースされたダウンロードマスター バージョン3.1.0.114は、任意のファイルアップロード、OSコマンドインジェクション、バッファオーバーフロー、反射型XSS、および保存型XSSの問題に関する5つの中規模から高重度の問題に対処しています。

いずれもCVE-2024-3080ほど重大ではありませんが、最適なセキュリティと保護のために、ユーザーはユーティリティをバージョン3.1.0.114以降にアップグレードすることが推奨されます。