Kritikus sebezhetőség miatt adtak ki riasztást: ha ilyen routert használsz, azonnal telepítened kell ezt a frissítést

Az ASUS szakemberei riasztást adtak ki, mert támadók távolról kódokat futtathatnak a cég AICloud szolgáltatással is rendelkező wifi routerein. 

A riasztást a nem megfelelő hitelesítés-vezérlők miatt adta ki a gyártó

Az ASUS figyelmeztet a hitelesítés megkerülésére vonatkozó sebezhetőségre az AiCloudot engedélyező útválasztókban, amely lehetővé teheti a távoli támadók számára, hogy jogosulatlanul hajtsanak végre funkciókat az eszközön.

A CVE-2025-2492 alatt nyomon követett és kritikusnak (CVSS v4 score: 9.2) minősített sebezhetőség távolról kihasználható egy speciálisan kialakított kéréssel, és nem igényel hitelesítést, ami különösen veszélyessé teszi.

„Bizonyos ASUS router firmware-sorozatokban nem megfelelő hitelesítésvezérlési sebezhetőség van” — olvasható a gyártó közleményében —„Ezt a sebezhetőséget kézzel készített kéréssel lehet kiváltani, ami potenciálisan a funkciók jogosulatlan végrehajtásához vezethet”.

Az AiCloud egy felhőalapú távoli elérési funkció, amelyet számos ASUS routerbe építettek be, mini privát felhőszerverré alakítva azokat. Lehetővé teszi a felhasználók számára, hogy az interneten keresztül bárhonnan elérjék a routerhez csatlakoztatott USB-meghajtókon tárolt fájlokat, távolról streameljenek médiát, szinkronizálják a fájlokat az otthoni hálózatok és más felhőalapú tárolószolgáltatások között, és linkeken keresztül megosszák a fájlokat másokkal.

Az AiCloudban felfedezett sebezhetőség a modellek széles skáláját érinti, és az ASUS számos firmware-ághoz adott ki javításokat, beleértve a 3.0.0.4_382 sorozatot, a 3.0.0.4_386 sorozatot, a 3.0.0.4_388 sorozatot és a 3.0.0.6_102 sorozatot. Az elhasználódott termékek érintett felhasználóinak azt tanácsolja a gyártó, hogy teljesen tiltsák le az AiCloud szolgáltatást és kapcsolják ki az internet-hozzáférést a WAN-hoz, a porttovábbításhoz, a DDNS-hez, a VPN-kiszolgálóhoz, a DMZ-hez, a port triggereléshez és az FTP-szolgáltatásokhoz. Ez természetesen funkcióvesztést okoz azok számára, akik használják a privát felhőtárhely szolgáltatást, azonban nincs más lehetőségük a kritikus sérülékenység kiütésére.