资安业者Forescout指出,若是IT人员无法及时套用新版韧体,则应该一并停用管理员远端存取,以及SSL VPN功能。我们也向居易进一步确认,该公司表示他们已在8月发布,台湾现行销售机种皆完成修补。
对于这些漏洞的细节,Forescout研究人员指出,其中最严重的是CVE-2024-41592,发生的原因在于网页介面的GetCGI()功能函数,查询字串参数的过程有瑕疵,而能导致记忆体缓冲区溢位,攻击者有机会远端执行任意程式码(RCE),或是发动阻断服务攻击(DoS),CVSS风险达到10分。
另一个被列为重大层级的是CVE-2024-41585,此漏洞可被攻击者用于作业系统层级的命令执行,以及虚拟机器(VM)逃逸,起因是主机作业系统与用户端作业系统之间用来沟通的元件recvCmd造成,CVSS风险评分为9.1。
值得留意的是,这些曝险的路由器有多达11款生命周期已经结束,研究人员提及居易虽然破例发布新版韧体,但仅有修补最严重的CVE-2024-41592。