Компания Asus выпустила обновления прошивки для устранения девяти уязвимостей (CVE-2025-59365, CVE-2025-59366, CVE-2025-59368, CVE-2025-59369, CVE-2025-59370, CVE-2025-59371, CVE-2025-59372 и CVE-2025-12003), включая критическую проблему обхода аутентификации в роутерах с включенной функцией AiCloud.
AiCloud — функция облачного удаленного доступа, встроенная во многие маршрутизаторы Asus и превращающая их в приватные облачные серверы. Функция позволяет пользователям получать доступ к файлам, хранящимся на USB-накопителях, подключенных к маршрутизатору, удаленно воспроизводить мультимедиа, синхронизировать файлы между домашней сетью и другими облачными сервисами, а также обмениваться файлами с другими пользователями (предоставив им ссылку).
Разработчики пишут, что критическая уязвимость CVE-2025-59366 связана с непредвиденным побочным эффектом в функциональности Samba и потенциально позволяет выполнять ряд функций без надлежащей авторизации.
Сообщается, что удаленные атакующие без привилегий могут эксплуатировать этот баг, объединив path traversal и инъекцию команд в атаках, которые не требуют какого-либо взаимодействия с пользователем.
Компания настоятельно рекомендует всем пользователям немедленно обновить прошивки своих роутеров до последней версии. При этом не уточняется, какие именно модели устройств уязвимы. Производитель перечисляет лишь версии прошивок, исправляющих все девять проблем: серии 3.0.0.4_386, 3.0.0.4_388 и 3.0.0.6_102.
Владельцам старых и уже неподдерживаемых устройств, которые не получат патчи, Asus рекомендует отключить все сервисы, доступные из интернета: удаленный доступ через WAN, переадресацию портов, DDNS, VPN-сервер, DMZ, port triggering и FTP. Также стоит отключить удаленный доступ к девайсам с AiCloud, которые уязвимы к атакам через CVE-2025-59366.
Следует отметить, что в апреле 2025 года разработчики Asus устранили другую критическую уязвимость обхода аутентификации (CVE-2025-2492), которая тоже была связана с AiCloud и активировалась при помощи специально подготовленного запроса.
Как стало известно недавно, наряду с шестью другими уязвимостями, CVE-2025-2492 использовалась для взлома тысяч роутеров Asus в рамках вредоносной кампании WrtHug. Эти атаки были нацелены на устаревшие и неподдерживаемые устройства на Тайване, в Юго-Восточной Азии, России, Центральной Европе и США.
