華碩警告旗下路由器的AiCloud功能存在安全性缺陷 需盡快更新韌體

華碩警告用戶，啟用 AiCloud 的路由器中存在身份驗證繞過漏洞，該漏洞可能允許遠端攻擊者在設備上執行未經授權的功能。該漏洞根據 CVE-2025-2492 進行追蹤，評級為嚴重（CVSS v4 分數：9.2），可通過特別構建的請求遠端利用，並且不需要身份驗證，因此特別危險。

AiCloud 是許多華碩路由器內置的基於雲端的遠端存取功能，可以簡易的將路由器變成迷你雲端硬碟；它允許使用者通過互聯網從任何地方訪問存儲在連接到路由器的USB驅動器上的檔、遠端流式傳輸媒體、在家庭網路和其他雲端儲存服務之間同步檔，以及通過連結與他人共享檔。
在 AiCloud 中發現的漏洞影響範圍非常廣泛，華碩發佈了多個韌體分支的修復程式，包括 3.0.0.4_382 系列、3.0.0.4_386 系列、3.0.0.4_388 系列和 3.0.0.6_102 系列。
華碩建議使用者升級到適用於其型號的最新韌體版本，關於如何更新路由器韌體，請參閱此處。對於尚未更新或已維護終止的路由器產品，則建議使用者完全禁用 AiCloud 並關閉 WAN、埠轉發、DDNS、VPN 伺服器、DMZ、埠觸發和 FTP 服務的互聯網訪問。
華碩還建議使用者使用不同的密碼來保護他們的無線網路和路由器管理頁面，並確保它們至少有 10 個字元長，包含字母、數位和符號。
雖然目前並沒有關於 CVE-2025-2492 的主動利用或公開概念驗證漏洞的報告，但攻擊者通常會以這些缺陷為目標，用惡意軟體感染設備或將其招募到 DDoS 集群中，因此，強烈建議華碩路由器用戶儘快升級到最新韌體。

消息來源

用AiCloud的人很少沒差預測是關閉

clouse 發表於 2025-4-21 22:44
用AiCloud的人很少沒差預測是關閉

但按照華碩的說法，使用 DDNS 和內網穿透似乎也會受影響，這個的影響範圍就大了