網路是現代人不可或缺的東西,就跟陽光、空氣和水一樣沒它不行,幾乎工作、生活都必須在網路環境下進行,因此網路安全在這個時代比過去來的重要許多。硬體製造商 Asus 近日推出了更新已修復多個關鍵漏洞,這些漏洞能讓駭客無須經過用戶身分驗證或互動遠端控制一系列型號的路由器。
高嚴重性漏洞影響多款 Asus 路由器,請盡快修復或更換
其中最嚴重的漏洞 CVE-2024-3080 是一個可以繞過身分驗證的缺陷,可允許遠端攻擊者無須通過驗證即可登入設備,根據台灣電腦網路危機處理暨協調中心 (TWCERT / CC)稱,在滿分 10 分的危害嚴重程度評分中得到 9.8 分。
第二個漏洞 CVE-2024-3079 影響相同的路由器機型。它源自於緩衝區溢位缺陷,允許已經獲得受影響路由器管理存取權限的遠端駭客執行命令。TWCERT/CC 警告的第三個漏洞會影響各種 Asus 路由器,編號為 CVE-2024-3912,可以允許遠端駭客在不需要使用者身份驗證的情況下執行命令。該漏洞的嚴重程度為 9.8 分,影響到的機型如下表:
安全更新從 1 月起就已經推出,可透過上面提供的連結取得適用於這些機型的安全性修復程式。 CVE-2024-3912 也會影響 Asus 已經不再支援的路由器機型,TWCERT/CC 建議用戶盡速更換新機,包含:
- DSL-N10_C1
- DSL-N10_D1
- DSL-N10P_C1
- DSL-N12E_C1
- DSL-N16P
- DSL-N16U
- DSL-AC52
- DSL-AC55
Asus 建議所有路由器用戶定期檢查設備,以確保它們運行最新的可用韌體。該公司還建議用戶在無線網路何路由器管理頁面設定獨立且強化難度的密碼。Asus 還建議用戶停用任何可以從網路存取的服務,包括從 WAN 遠端存取、連接埠轉送、DDNS、VPN 伺服器、DMZ 和連接埠觸發器。同時,Asus 提供常見問題的網頁供消費者查詢。
Source:
Ars Techica
