近日，華碩發(fā)布了固件更新，以修復(fù)影響多種路由器型號(hào)的 9 個(gè)安全漏洞等問題。該9個(gè)安全漏洞的嚴(yán)重程度，其中2個(gè)被評(píng)為嚴(yán)重，6個(gè)被評(píng)為高危，剩下1個(gè)還有待分析。

本次安全漏洞修復(fù)涉及到華碩如下產(chǎn)品，包括 GT6、GT-AXE16000、GT-AX11000 PRO、GT-AXE11000、GT-AX6000、GT-AX11000、GS-AX5400、GS-AX3000、XT9、XT8、XT8 V2、RT-AX86U PRO、RT -AX86U、RT-AX86S、RT-AX82U、RT-AX58U、RT-AX3000、TUF-AX6000 和 TUF-AX5400。

根據(jù)中國網(wǎng)絡(luò)安全行業(yè)門戶極牛網(wǎng)(GeekNB.com)的梳理，該9個(gè)安全漏洞中，最為嚴(yán)重的漏洞是 CVE-2018-1160 和 CVE-2022-26376，這兩個(gè)漏洞在 CVSS 評(píng)分系統(tǒng)上的評(píng)分均為 9.8 分（滿分 10 分）。

CVE-2018-1160 漏洞涉及 3.1.12 之前的 Netatalk 版本中存在近五年的越界寫入缺陷，該缺陷可能允許未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者實(shí)現(xiàn)任意代碼執(zhí)行。

CVE-2022-26376 漏洞被描述為 Asuswrt 固件中的內(nèi)存損壞漏洞，可以通過特制的 HTTP 請(qǐng)求觸發(fā)。

其余的 7 個(gè)安全漏洞基本情況如下：

• CVE-2022-35401（CVSS 評(píng)分：8.1） – 身份驗(yàn)證繞過漏洞，可能允許攻擊者發(fā)送惡意 HTTP 請(qǐng)求以獲得對(duì)設(shè)備的完全管理訪問權(quán)限。

• CVE-2022-38105（CVSS 評(píng)分：7.5）- 信息泄露漏洞，可被利用通過發(fā)送特制的網(wǎng)絡(luò)數(shù)據(jù)包來訪問敏感信息。

• CVE-2022-38393（CVSS 評(píng)分：7.5）- 拒絕服務(wù) (DoS) 漏洞，可通過發(fā)送特制網(wǎng)絡(luò)數(shù)據(jù)包觸發(fā)。

• CVE-2022-46871（CVSS 評(píng)分：8.8）- 使用過時(shí)的 libusrsctp 庫，該庫可能使目標(biāo)設(shè)備遭受其他攻擊。

• CVE-2023-28702（CVSS 評(píng)分：8.8） – 命令注入缺陷，本地攻擊者可利用該缺陷執(zhí)行任意系統(tǒng)命令、破壞系統(tǒng)或終止服務(wù)。

• CVE-2023-28703（CVSS 評(píng)分：7.2） – 一個(gè)基于堆棧的緩沖區(qū)溢出漏洞，具有管理員權(quán)限的攻擊者可以利用該漏洞執(zhí)行任意系統(tǒng)命令、破壞系統(tǒng)或終止服務(wù)。

• CVE-2023-31195（CVSS 評(píng)分：N/A）- 中間對(duì)手 (AitM) 缺陷，可能導(dǎo)致用戶會(huì)話被劫持。

建議用戶盡快升級(jí)設(shè)備，更新到最新版本，以降低安全風(fēng)險(xiǎn)。作為緩解措施，建議用戶禁用從 WAN 端訪問的服務(wù)，以避免潛在的不必要的入侵。