ASUSTeK Computer(以下、ASUS)は6月19日(現地時間)、「ASUS Product Security Advisory」において、複数のWi-Fiルータに対するファームウェアのセキュリティアップデートをアナウンスした。これらのセキュリティアップデートには複数の脆弱性に対する修正が含まれており、該当する製品を利用している場合、早急に適用することが推奨されている。

これらの脆弱性を悪用されると、メモリの破損や任意コードの実行、セッションのハイジャック、機密情報の窃取などといった被害を受ける危険性がある。

ASUS Product Security Advisory|ASUS Global

ファームウェアアップデートの対象となっている製品モデルは以下の通り。

GT6

GT-AXE16000

GT-AX11000 PRO

GT-AX6000

GT-AX11000

GS-AX5400

GS-AX3000

XT9

XT8

XT8 V2

RT-AX86U PRO

RT・AX86U

RT-AX86S

RT-AX82U

RT-AX58U

RT-AX3000

TUF-AX6000

TUF-AX5400

今回のファームウェアアップデートには、以下に挙げるCVEベースの脆弱性に対する修正が含まれているという。

CVE-2023-28702: ASUS RT-AC86Uにおけるコマンドインジェクションの脆弱性

CVE-2023-28703: ASUS RT-AC86Uの特定のCGI機能におけるスタックベースのバッファオーバーフローの脆弱性

CVE-2023-31195: ASUS RT-AX3000におけるCookieを使用したセッションハイジャックが可能な脆弱性

CVE-2022-46871: 古いライブラリ(libusrsctp)における悪用可能な脆弱性

CVE-2022-38105: Asus RT-AX82Uの設定サービスにおける情報漏えいの脆弱性

CVE-2022-35401: Asus RT-AX82Uのget_IFTTTTtoken.cgi機能における認証バイパスの脆弱性

CVE-2018-1160: Netatalkにおけるdsi_opensess.cの範囲外書き込みの脆弱性

CVE-2022-38393: Asus RT-AX82Uの設定サービスにおけるサービス拒否の脆弱性

CVE-2022-26376: AsuswrtおよびAsuswrt-Merlin New Genのhttpd unescape機能におけるメモリ破損の脆弱性

また、上記の他に次のセキュリティ修正も行われている。

ファイアウォール設定ページのDoS脆弱性の修正

httpdのDoS脆弱性の修正

Nullポインター逆参照の脆弱性の修正

cfgサーバの脆弱性の修正

logmessage機能の脆弱性の修正

クライアントDOMに保存されたXSS脆弱性の修正

HTTPレスポンス分割の脆弱性の修正

ステータスページのHTMLの脆弱性の修正

HTTPレスポンス分割の脆弱性の修正

Samba関連の脆弱性の修正

オープンリダイレクトの脆弱性の修正

トークン認証のセキュリティ問題の修正

ステータスページのセキュリティ問題の修正

Let's EncryptのECDSA証明書の有効化およびサポート

認証情報の保護の強化

OTAファームウェアアップデートの保護の強化

ASUSは、ネットワーク環境を安全に保つために、影響を受ける製品に対して早急にセキュリティアップデートを適用するように呼びかけている。