台湾におけるコンピュータ緊急対応チームおよび調整センターであるTWCERT/CC (Taiwan Computer Emergency Response Team Coordination Center)は9月5日(現地時間)、「TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報-ASUS RT-AX55、RT-AX56U_V2、RT-AC86U – Format String – 1」などにおいて、ASUSTekの複数のWi-Fiルータに複数の脆弱性が存在すると伝えた。
これら脆弱性を悪用されると、遠隔からのコード実行、端末上で任意の操作、許可なくサービスを妨害するなどの危険性があり注意が必要。脆弱性に関する情報は次のページにまとまっている。
- TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報-ASUS RT-AX55、RT-AX56U_V2、RT-AC86U – Format String – 1
- TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報-ASUS RT-AX55、RT-AX56U_V2、RT-AC86U – Format String – 2
- TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報-ASUS RT-AX55、RT-AX56U_V2、RT-AC86U – Format String – 3
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
- RT-AX55 – 3.0.0.4.386_50460
- RT-AX56U_V2 – 3.0.0.4.386_50460
- RT-AC86U – 3.0.0.4_386_51529
脆弱性が修正されたプロダクトおよびバージョンは次のとおり。
- RT-AX55 – 3.0.0.4.386_51948
- RT-AX56U_V2 – 3.0.0.4.386_51948
- RT-AC86U – 3.0.0.4.386_51915
発見された脆弱性は次のとおり。
- CVE-2023-39238 (CVSS 9.8 緊急) – set_iperf3_svr.cgi APIに入力された文字列を適切に検証しない脆弱性
- CVE-2023-39239 (CVSS 9.8 緊急) – 一般設定関数APIに入力された文字列を適切に検証しない脆弱性
- CVE-2023-39240 (CVSS 9.8 緊急) – set_iperf3_cli.cgi APIに入力された文字列を適切に検証しない脆弱性
国内最大級の品揃え【DMMブックス】ロリポップ!
どんなソフトを使ったら良いか分からないアナタに!ソフトナビ
脆弱性のCVSSv3スコアは「9.8」で深刻度は緊急(Critical)に分類されており注意が必要。該当製品の管理者はただちにアップデートを適用することが望まれる。
情報元
https://news.mynavi.jp/techplus/article/20230907-2765924/