ASUSTeK Computerは6月14日(現地時間)、「ASUS Product Security Advisory|ASUS Global」において、同社の複数の無線LAN関連デバイスから複数の脆弱性を検出したと報じた。これら脆弱性を悪用されると、リモートから認証されていない第三者に任意のコマンドを実行される可能性がある。
-
ASUS Product Security Advisory|ASUS Global
脆弱性の概要
脆弱性に関する情報は次のページにまとまっている。
- TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報-ASUS 路由器 - Stack-based Buffer Overflow
- TWCERT/CC Taiwan Computer Emergency Response Team/Coordination Center-ASUS Router - Stack-based Buffer Overflow
脆弱性の情報(CVE)は次のとおり。
- CVE-2024-3079 - バッファーオーバーフローの脆弱性。管理者権限を持つリモートの攻撃者に任意のコマンドを実行される可能性がある
- CVE-2024-3080 - 認証バイパスの脆弱性。認証されていないリモートの攻撃者にログインされる可能性がある
脆弱性の影響を受ける製品
脆弱性の影響を受けるとされる製品およびバージョンは次のとおり。
- ZenWiFi XT8 3.0.0.4.388_24609およびこれ以前のバージョン
- ZenWiFi XT8 V2 3.0.0.4.388_24609およびこれ以前のバージョン
- RT-AX88U 3.0.0.4.388_24198およびこれ以前のバージョン
- RT-AX58U 3.0.0.4.388_23925およびこれ以前のバージョン
- RT-AX57 3.0.0.4.386_52294およびこれ以前のバージョン
- RT-AC86U 3.0.0.4.386_51915およびこれ以前のバージョン
- RT-AC68U 3.0.0.4.386_51668およびこれ以前のバージョン
脆弱性が修正された製品
脆弱性が修正された製品およびバージョンは次のとおり。
- ZenWiFi XT8 3.0.0.4.388_24621およびこれ以降のバージョン
- ZenWiFi XT8 V2 3.0.0.4.388_24621およびこれ以降のバージョン
- RT-AX88U 3.0.0.4.388_24209およびこれ以降のバージョン
- RT-AX58U 3.0.0.4.388_24762およびこれ以降のバージョン
- RT-AX57 3.0.0.4.386_52303およびこれ以降のバージョン
- RT-AC86U 3.0.0.4.386_51925およびこれ以降のバージョン
- RT-AC68U 3.0.0.4.386_51685およびこれ以降のバージョン
対策
修正された脆弱性のうち、最も深刻度の高いものは緊急(Critical)と評価されており注意が必要。当該製品を運用している管理者は、影響を確認してファームウェアをアップデートすることが推奨されている。また追加の対策として、Wi-Fiネットワークおよび管理ページに異なる一意の強力なパスワードを設定することが望まれている。
