ASUSのルーターに重大な脆弱性、修正ファームウェアを公開：セキュリティニュースアラート

ASUSTeK Computerは重大な脆弱性を修正したファームウェアを公開した。影響を受ける製品はZenWiFiやRTシリーズなど多数。ユーザーには迅速なアップデートが強く推奨されている。

[後藤大地，有限会社オングス]

　ASUSTeK Computerは2024年6月14日（現地時間）、複数のルーター製品に存在する重大な脆弱（ぜいじゃく）性を修正したファームウェアの公開を報告した。該当製品を使用しているユーザーは迅速にアップデートを適用することが強く推奨されている。

管理者権限で任意のコマンド実行の可能性も

　修正対象の脆弱性は「CVE-2024-3079」と「CVE-2024-3080」。CVE-2024-3079はバッファーオーバーフローの脆弱性とされ、管理者権限を取得したリモートの攻撃者にデバイス上で任意のコマンドを実行されてしまう可能性がある。CVE-2024-3080はリモートの攻撃者が認証なしでデバイスにログインされてしまう可能性のある認証バイパスの脆弱性とされている。特にCVE-2024-3080は脆弱性の深刻度が台湾のCERTにより緊急（Critical）と評価されており注意が必要だ。

　脆弱性が修正された製品は以下の通りだ。

• ZenWiFi XT8
• ZenWiFi XT8 V2
• RT-AX88U
• RT-AX58U
• RT-AX57
• RT-AC86U
• RT-AC68U

　脆弱性が修正されたファームウェアの適用を見送る場合、潜在的な侵入を回避するためにWAN側からのアクセス可能なサービスを無効にすることが強く推奨されている。リモートアクセスやポート転送、DDNS、VPNサーバ、DMZ、ポートトリガーなどのサービスを無効にすることが勧められている。大文字や数字、記号を組み合わせた10文字以上のパスワードを使用することもアドバイスしている。

　同日に台湾のCERTからASUSTeK Computerの複数のルーター製品に影響を及ぼす可能性がある重大な脆弱性も公表されている。CVE-2024-3912として特定されているこの脆弱性が悪用された場合、認証されていないリモート攻撃者にデバイス上でシステムコマンドが実行されてしまう可能性がある。こちらも「緊急」（Critical）と評価されており注意が必要だ。

　影響を受ける製品は以下の通りだ。

• DSL-N17U、DSL-N55U_C1、DSL-N55U_D1、DSL-N66U
• DSL-N12U_C1 、DSL -N12U_D1、DSL-N14U、DSL-N14U_B1
• DSL-N16、DSL-AC51、DSL-AC750、DSL-AC52U、DSL-AC55U、DSL- AC56U
• DSL-N10_C1、DSL-N10_D1、DSL-N10P_C1、DSL-N12E_C1、DSL-N16P、DSL-N16U、DSL-AC52、DSL-AC55

　DSL-N10_C1、DSL-N10_D1、DSL-N10P_C1、DSL-N12E_C1、DSL-N16P、DSL-N16U、DSL-AC52、DSL-AC55に関してはサポートが終了しているため、ファームウェアは提供されていない。該当する製品を使っているユーザーはルーターを交換するよう強く勧められている。