华硕发布了新的固件更新，解决了影响七种路由器型号的漏洞，该漏洞允许远程攻击者登录设备。

该漏洞的编号为CVE-2024-3080（CVSS v3.1 评分：9.8“严重”），是一个身份验证绕过漏洞，允许未经身份验证的远程攻击者控制设备。

华硕表示该问题影响以下路由器型号：

XT8（ZenWiFi AX XT8） ——Mesh WiFi 6 系统提供三频覆盖，速度高达 6600 Mbps，支持 AiMesh、AiProtection Pro、无缝漫游和家长控制。XT8_V2（ZenWiFi AX XT8 V2） ——XT8 的更新版本，保留了类似的功能，并增强了性能和稳定性。RT-AX88U - 双频 WiFi 6 路由器，速度高达 6000 Mbps，具有 8 个 LAN 端口、AiProtection Pro 和用于游戏和流媒体的自适应 QoS。RT-AX58U - 双频 WiFi 6 路由器，提供高达 3000 Mbps，支持 AiMesh、AiProtection Pro 和 MU-MIMO，实现高效的多设备连接。RT-AX57——专为满足基本需求而设计的双频 WiFi 6 路由器，提供高达 3000 Mbps 的速度，并具有 AiMesh 支持和基本的家长控制功能。RT-AC86U - 双频 WiFi 5 路由器，速度高达 2900 Mbps，具有 AiProtection、自适应 QoS 和游戏加速功能。RT-AC68U - 双频 WiFi 5 路由器，提供高达 1900 Mbps 的速度，支持 AiMesh、AiProtection 和强大的家长控制。

ASUS 建议用户将设备更新至其下载门户上提供的最新固件版本（上面每个型号的链接）。固件更新说明可在此常见问题解答页面中找到。

对于无法立即更新固件的用户，供应商建议他们确保其帐户和 WiFi 密码足够强（长度超过 10 个非连续字符）。

此外，建议禁用管理面板的互联网访问、从 WAN 的远程访问、端口转发、DDNS、VPN 服务器、DMZ 和端口触发。

同一软件包中解决的另一个漏洞是 CVE-2024-3079，这是一个高严重性 (7.2) 缓冲区溢出问题，需要管理员帐户访问权限才能利用。

台湾 CERT 也在 昨天的帖子中向公众通报了CVE-2024-3912 ，这是一个严重的 (9.8)任意固件上传漏洞，允许未经身份验证的远程攻击者在设备上执行系统命令。

该漏洞影响了华​硕的多种路由器型号，但由于它们已经到了使用寿命终止（EoL），所以并非所有路由器都会收到安全更新。

每个受影响模型提出的解决方案是：

DSL-N17U、DSL-N55U_C1、DSL-N55U_D1、DSL-N66U：升级到固件版本 1.1.2.3_792 或更高版本。DSL-N12U_C1、DSL-N12U_D1、DSL-N14U、DSL-N14U_B1：升级到固件版本 1.1.2.3_807 或更高版本。DSL-N16、DSL-AC51、DSL-AC750、DSL-AC52U、DSL-AC55U、DSL-AC56U：升级到固件版本 1.1.2.3_999 或更高版本。DSL-N10_C1、DSL-N10_D1、DSL-N10P_C1、DSL-N12E_C1、DSL-N16P、DSL-N16U、DSL-AC52、DSL-AC55：已到达 EoL 日期，建议更换。下载 Master 安全更新

最后，华硕宣布更新 Download Master，这是华硕路由器上使用的实用程序，使用户能够通过 torrent、HTTP 或 FTP 直接管理和下载文件到连接的 USB 存储设备。

新发布的下载大师 3.1.0.114 版解决了五个中到高严重性问题，涉及任意文件上传、操作系统命令注入、缓冲区溢出、反射型 XSS 和存储型 XSS 问题。

虽然这些都不像 CVE-2024-3080 那么严重，但建议用户将其实用程序升级到 3.1.0.114 或更高版本，以获得最佳的安全性和保护。

#网络安全##头条创作挑战赛##国际网络安全热点资讯##安全漏洞##黑客#