华硕近日发布警告,称其启用AiCloud功能的路由器存在认证绕过漏洞,可能允许远程攻击者对设备进行未经授权的功能执行。据报道,该漏洞编号为CVE-2025-2492,危险等级为“严重”(CVSS v4评分:9.2),通过特制请求远程利用,无需认证,极具危险性。
AiCloud是华硕路由器内置的云远程访问功能,可将路由器变为私人云服务器,用户可以通过互联网访问连接到路由器的USB驱动器上的文件,远程播放媒体,同步家庭网络与其他云存储服务之间的文件,并通过链接共享文件。
该漏洞影响多个型号,华硕已发布多个固件分支的修复,包括3.0.0.4_382系列、3.0.0.4_386系列、3.0.0.4_388系列和3.0.0.6_102系列。用户应尽快到华硕支持门户或产品查找页面升级到最新固件版本。详细的固件升级说明可以在此查看。
华硕建议用户为无线网络和路由器管理页面使用独特密码,并确保至少10个字符长,包含字母、数字和符号。对于停产产品的用户,建议完全禁用AiCloud功能,并关闭WAN、端口转发、DDNS、VPN服务器、DMZ、端口触发和FTP服务的互联网访问。
虽然目前没有关于CVE-2025-2492漏洞的主动利用或公开概念验证的报道,但该类漏洞常被攻击者用来感染设备或招募设备参与DDoS攻击。因此,强烈建议华硕路由器用户尽快升级到最新固件。