台湾におけるコンピュータ緊急対応チームおよび調整センターであるTWCERT/CC (Taiwan Computer Emergency Response Team Coordination Center)は9月5日(現地時間)、「TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報-ASUS RT-AX55、RT-AX56U_V2、RT-AC86U - Format String - 1」などにおいて、ASUSTekの複数のWi-Fiルータに複数の脆弱性が存在すると伝えた。

これら脆弱性を悪用されると、遠隔からのコード実行、端末上で任意の操作、許可なくサービスを妨害するなどの危険性があり注意が必要。脆弱性に関する情報は次のページにまとまっている。

  • TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報-ASUS RT-AX55、RT-AX56U_V2、RT-AC86U - Format String - 1

    TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報-ASUS RT-AX55、RT-AX56U_V2、RT-AC86U - Format String - 1

脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

  • RT-AX55 - 3.0.0.4.386_50460
  • RT-AX56U_V2 - 3.0.0.4.386_50460
  • RT-AC86U - 3.0.0.4_386_51529

脆弱性が修正されたプロダクトおよびバージョンは次のとおり。

  • RT-AX55 - 3.0.0.4.386_51948
  • RT-AX56U_V2 - 3.0.0.4.386_51948
  • RT-AC86U - 3.0.0.4.386_51915

発見された脆弱性は次のとおり。

  • CVE-2023-39238 (CVSS 9.8 緊急) - set_iperf3_svr.cgi APIに入力された文字列を適切に検証しない脆弱性
  • CVE-2023-39239 (CVSS 9.8 緊急) - 一般設定関数APIに入力された文字列を適切に検証しない脆弱性
  • CVE-2023-39240 (CVSS 9.8 緊急) - set_iperf3_cli.cgi APIに入力された文字列を適切に検証しない脆弱性

脆弱性のCVSSv3スコアは「9.8」で深刻度は緊急(Critical)に分類されており注意が必要。該当製品の管理者はただちにアップデートを適用することが望まれる。