立刻更新固件！华硕高端路由器曝出远程代码执行高危漏洞

近日，华硕三款高端WiFi路由器（RT-AX55、RT-AX56U_V2和RT-AC86U）曝出三个远程代码执行高危漏洞（CVSSv3.1评分高达9.8分），黑客可远程访问并劫持用户路由器，建议以上三款产品用户立刻安装安全更新。

这三款WiFi路由器是消费级网络市场流行的高端型号，目前在华硕网站和各大电商平台上有售，深受游戏玩家和对性能需求较高的用户的青睐。

披露的三个高危漏洞都属于格式字符串漏洞，无需身份验证即可远程利用，可能允许远程代码执行、服务中断以及在设备上执行任意操作。

格式字符串漏洞是由于某些函数的格式字符串参数中未经验证和/或未经过滤的用户输入而引起的安全问题，包括信息泄露和代码执行。

中国台湾CERT本周二披露的三个漏洞的具体信息如下：

• CVE-2023-39238：缺乏对iperf相关API模块“ser_iperf3_svr.cgi”上的输入格式字符串的正确验证。
• CVE-2023-39239：通用设置函数的API中缺乏对输入格式字符串的正确验证。
• CVE-2023-39240：缺乏对iperf相关API模块“ser_iperf3_cli.cgi”上的输入格式字符串的正确验证。

华硕官方推荐的解决方案是安装以下固件更新：

• RT-AX55：3.0.0.4.386_51948或更高版本（https://www.asus.com/networking-iot-servers/wifi-routers/all-series/rt-ax55/helpdesk_bios/?model2Name=RT-AX55）
• RT-AX56U_V2：3.0.0.4.386_51948或更高版本（https://www.asus.com/networking-iot-servers/wifi-6/all-series/rt-ax56u/helpdesk_bios/?model2Name=RT-AX56U）
• RT-AC86U：3.0.0.4.386_51915或更高版本（https://www.asus.com/supportonly/rt-ac86u/helpdesk_bios/?model2Name=RT-AC86U）

华硕分别于2023年8月上旬针对RT-AX55、2023年5月针对AX56U_V2以及2023年7月针对RT-AC86U发布了修复这三个漏洞的补丁。

至今尚未安装安全更新的上述三款设备非常容易受到攻击，建议用户尽快更新固件版本。

此外，由于许多攻击针对消费者路由器的Web管理控制台，安全专家强烈建议用户关闭远程管理（WAN Web访问）功能以防止从互联网进行访问。