按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報

:::
發布日期:
字型大小:

ASUS 路由器 - Upload arbitrary firmware

TVN ID TVN-202406011
CVE ID CVE-2024-3912
CVSS 9.8 (Critical)
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
影響產品 DSL-N17U, DSL-N55U_C1, DSL-N55U_D1, DSL-N66U, DSL-N14U, DSL-N14U_B1, DSL-N12U_C1, DSL-N12U_D1, DSL-N16, DSL-AC51, DSL-AC750, DSL-AC52U, DSL-AC55U, DSL-AC56U
問題描述 ASUS路由器部分型號存在任意韌體上傳漏洞,未經身分鑑別之遠端攻擊者可利用此漏洞於設備上執行任意系統指令。
解決方法 將以下型號更新至1.1.2.3_792(含)以後版本:
DSL-N17U, DSL-N55U_C1, DSL-N55U_D1, DSL-N66U

將以下型號更新至1.1.2.3_807(含)以後版本:
DSL-N12U_C1, DSL-N12U_D1, DSL-N14U, DSL-N14U_B1

將以下型號更新至1.1.2.3_999(含)以後版本:
DSL-N16, DSL-AC51, DSL-AC750, DSL-AC52U, DSL-AC55U, DSL-AC56U

以下型號已不再維護,建議進行汰換
DSL-N10_C1, DSL-N10_D1, DSL-N10P_C1, DSL-N12E_C1, ,DSL-N16P, DSL-N16U, DSL-AC52, DSL-AC55
若短期內無法汰換,建議關閉遠端存取(Web access from WAN), 虛擬伺服器(Port forwarding), DDNS, VPN 伺服器, DMZ, 通訊埠觸發程式(port trigger)
漏洞通報者 Carlos Köpke (PLASMALABS)
公開日期 2024-06-14
回頁首