Säkerhetsbrist i Asus-routrar – uppdatera nu

Det här verkade uppmärksammas redan i Januari...
ASUS Product Security Advisory - ASUS Router AiCloud vulnerability (01/02/2025)
ASUS Routers Vulnerabilities Allows Arbitrary Code Execution
An improper input insertion vulnerability in AiCloud on...
CVE-2024-12912 Detail

Hemmaprylar borde verkligen ha automatisk patchning.

Är väl antingen en av två saker...

Asus har dåligt säkerhetstänk

Eller

Så sköter det sin analys och hittar buggarna

Det kan ju också vara för att deras produkter är ganska populära, vilket leder till att fler folk letar sårbarheter i dem. Det är ju alltid roligare att rapportera in en sårbarhet i en populär produkt än i någon okänd pryl som ingen hört talas om. Samtidigt är det ju också mer intressant för illasinnade angripare att leta efter sådana sårbarheter.

Just denna hade ju hittats av Asus internt dock, så här är det nog ett av dina två alternativ.

Vill minnas att nån av mina f.d. i bruk-nas från WD hade nån remote-access-cloud-grej så man skulle kunna komma åt sina filer på NAS:en via deras mobilapp utan att öppna portar o.dyl... undrar hur säkra den appen/funktionen är..

Min router ZenWifi XD6 har ingen uppdatering sedan oktober men tillhör en av serierna i artikeln. Är man rökt då och måste skaffa ny? Jag hittar ingen omnämning av AI-Cloud någonstans i inställningarna dock, så den kanske saknar funktionen?

På min Asus RT-AX86U Pro har den egen kategori i vänstermenyn så det är nog ingen fara för dig. Ser inte heller att den ska ha den funktionen på hemsidan.

Jag tolkar det som att man inte är sårbar då, men man får inte helt klart vad som gäller.
https://www.asus.com/content/asus-product-security-advisory/

Tack för tipset, gått över till freshtomato på min RT-AC68U nu då de fortfarande verkar släppa nya versioner till min router då Asus har gett upp på supporten.

AiCloud

Jag älskar asus routrar men deras AI produkter (share, cloud mm) är bara skräp när det kommer till säkerhet.

Det enda "AI" jag använder är undantaget AI'protection (IPS), den tar otroligt mycket för att vara gratis.
Jag har en fortigate (genom jobbet) bakom den med IPS på med så jag ser ju exakt vad den missar.

Det finns ingen patch ännu för AX serien iaf, detta är senaste:

//
Firmware version 3.0.0.6.102_34349
Version 3.0.0.6.102_34349
58.18 MB
2025/03/17
SHA-256 ：D4F725FFB67997CFB443D641A174C67EB6223A66215D6FFDBD92FECF5C77849F

1. Fixed the UI issue in Chrome.
2. Fixed client binding issues in Mesh scenarios.
3. Enhanced input parameter handling techniques to improve data processing stability and system security.
4. Enhance system access control mechanisms.
//

Freshtomato är verkligen bra, fungerade klockrent på min AC3200! Hade lagt upp vlan också och grejat på den. Nästan så jag vill lägga in den på denna jag har nu om det fungerar.

Otroligt cleant UI med tydliga inställningar, helt klart en uppgradering från standard.

Har en asus gt-be98 med firmware 3.0.0.6.102_36878, och den har inte något nyare firmware att ladda hem (Dock kan jag inte se att jag har AI-Cloud påslaget)

Edit. Såg att man kunde ladda hem 3.0.0.62.102_36911 från deras hemsida (dock inget som skickas ut automatiskt via "update" funktionen i routern). Dessutom oklart om detta firmware faktiskt fixar säkerhetsproblemet.

Jag har kört Asus-wrt Merlin på min AC68U i många många år utan några problem, men också där är vi nu EOL. Ska kika på Freshtomato då jag egentligen inte behöver nån uppdatering på prestanda. Jag kör den som ren router och har Unifi accesspunkter som gör jobbet för Wifi. Har väl tittat på nån Asus-routeruppgradering med kanske 2.5 Mbit-stöd, men egentligen onödigt som sagt, och man får ju en massa Wifi-antenner jag inte vill ha. Tack för tipset på Freshtomato!