ASUSの複数のWi-Fiルータに複数の脆弱性、ファームウェアのアップデートが必要

ASUSTeK Computer(以下、ASUS)は6月19日(現地時間)、「ASUS Product Security Advisory」において、複数のWi-Fiルータに対するファームウェアのセキュリティアップデートをアナウンスした。これらのセキュリティアップデートには複数の脆弱性に対する修正が含まれており、該当する製品を利用している場合、早急に適用することが推奨されている。

これらの脆弱性を悪用されると、メモリの破損や任意コードの実行、セッションのハイジャック、機密情報の窃取などといった被害を受ける危険性がある。

ファームウェアアップデートの対象となっている製品モデルは以下の通り。

GT6
GT-AXE16000
GT-AX11000 PRO
GT-AX6000
GT-AX11000
GS-AX5400
GS-AX3000
XT9
XT8
XT8 V2
RT-AX86U PRO
RT・AX86U
RT-AX86S
RT-AX82U
RT-AX58U
RT-AX3000
TUF-AX6000
TUF-AX5400

今回のファームウェアアップデートには、以下に挙げるCVEベースの脆弱性に対する修正が含まれているという。

CVE-2023-28702: ASUS RT-AC86Uにおけるコマンドインジェクションの脆弱性
CVE-2023-28703: ASUS RT-AC86Uの特定のCGI機能におけるスタックベースのバッファオーバーフローの脆弱性
CVE-2023-31195: ASUS RT-AX3000におけるCookieを使用したセッションハイジャックが可能な脆弱性
CVE-2022-46871: 古いライブラリ(libusrsctp)における悪用可能な脆弱性
CVE-2022-38105: Asus RT-AX82Uの設定サービスにおける情報漏えいの脆弱性
CVE-2022-35401: Asus RT-AX82Uのget_IFTTTTtoken.cgi機能における認証バイパスの脆弱性
CVE-2018-1160: Netatalkにおけるdsi_opensess.cの範囲外書き込みの脆弱性
CVE-2022-38393: Asus RT-AX82Uの設定サービスにおけるサービス拒否の脆弱性
CVE-2022-26376: AsuswrtおよびAsuswrt-Merlin New Genのhttpd unescape機能におけるメモリ破損の脆弱性

また、上記の他に次のセキュリティ修正も行われている。

ファイアウォール設定ページのDoS脆弱性の修正
httpdのDoS脆弱性の修正
Nullポインター逆参照の脆弱性の修正
cfgサーバの脆弱性の修正
logmessage機能の脆弱性の修正
クライアントDOMに保存されたXSS脆弱性の修正
HTTPレスポンス分割の脆弱性の修正
ステータスページのHTMLの脆弱性の修正
HTTPレスポンス分割の脆弱性の修正
Samba関連の脆弱性の修正
オープンリダイレクトの脆弱性の修正
トークン認証のセキュリティ問題の修正
ステータスページのセキュリティ問題の修正
Let's EncryptのECDSA証明書の有効化およびサポート
認証情報の保護の強化
OTAファームウェアアップデートの保護の強化

ASUSは、ネットワーク環境を安全に保つために、影響を受ける製品に対して早急にセキュリティアップデートを適用するように呼びかけている。