多くても月数回程度しかルータの管理画面にはログインしないのですが、Firmwareの更新通知が出ていたのでUpdateしました。
ブラウザ上の管理画面UIから数クリックで簡単にUpdateできる点は素晴らしいのですが、何が修正されたのかは表示してくれませんので調べてみました。
更新後Version
私が使用しているのはRT-AC56Sというモデル(後述しますが対象となるモデルは大量にある模様)ですが、更新後はVersion 3.0.0.4.380.7378と表示されています。ASUSグローバルのサポートサイトで調べてみると2017/04/24に更新されたようです。
RT-AC56S | Networking | ASUS Global
更新内容
Web上の管理画面からは確認できない更新内容も上記サイトには掲載されていました。それによると、5件の脆弱性対策と1件のセキュリティ向上策と3件のバグ修正が行われたようです。
Security fixed
- Fixed CVE-2017-5891.
- Fixed CVE-2017-5892.
- Fixed CVE-2017-6547.
- Fixed CVE-2017-6549.
- Fixed CVE-2017-6548.
- Added log message for brute force attack.
Bug fixed
- Fixed bandwidth limiter bugs.
- Fixed UI issue when using Chrome 56.
- Fixed smart sync bugs.
修正された脆弱性
各CVEの内容を確認すると以下の通り。
2017-5891~5892は現時点では内容が公開されていないため不明ですが、逆に非公開なことからも重大な脆弱性ではないかと察せられます。
CVE - CVE-2017-5891
CVE - CVE-2017-5892
2017-6547はクロスサイトスクリプティング(XSS)、6548はバッファーオーバーフロー(Buffer overflows)、6549はセッションハイジャック(Session hijack)の脆弱性だったようです。
CVE - CVE-2017-6547
CVE - CVE-2017-6549
CVE - CVE-2017-6548
なお、2017-6547~6549の3件の脆弱性については同様のWeb管理画面(ASUSWRT)を採用している下記30モデルのASUSルーターが対象として挙げられています。ASUSルーターをお使いで最近Firmware更新していない方は確認してみた方が良さそうです。
- RT-N56U
- RT-N66U
- RT-AC66U
- RT-N66R
- RT-AC66R
- RT-AC68U
- RT-AC68R
- RT-N66W
- RT-AC66W
- RT-AC87R
- RT-AC87U
- RT-AC51U
- RT-AC68P
- RT-N11P
- RT-N12+
- RT-N12E B1
- RT-AC3200
- RT-AC53U
- RT-AC1750
- RT-AC1900P
- RT-N300
- RT-AC750
- RT-AC68W
- RT-N600
- RT-N12+ B1
- RT-N11P B1
- RT-N12VP B1
- RT-N12E C1
- RT-N300 B1
- RT-N12+ Pro
以上。