ASUS, uzak saldırganların cihazda yetkisiz işlevlerin yürütülmesini sağlayabilecek AICLOUD etkinleştirilmiş yönlendiricilerde bir kimlik doğrulama baypas güvenlik açığı hakkında uyarıyor.
CVE-2025-2492 altında izlenen ve kritik olarak derecelendirilen güvenlik açığı (CVSS V4 skoru: 9.2), özel olarak hazırlanmış bir istekle uzaktan sömürülebilir ve özellikle tehlikeli hale getirerek kimlik doğrulaması gerektirmez.
Satıcının bülteninde, “Bazı ASUS yönlendirici ürün yazılımı serilerinde uygunsuz bir kimlik doğrulama kontrolü güvenlik açığı var.”
“Bu güvenlik açığı, potansiyel olarak işlevlerin yetkisiz olarak yürütülmesine yol açan hazırlanmış bir istekle tetiklenebilir.”
AICLOUD, birçok ASUS yönlendiricisinde yerleşik olan ve mini özel bulut sunucularına dönüştüren bulut tabanlı bir uzaktan erişim özelliğidir.
Kullanıcıların, yönlendiriciye bağlı USB sürücülerinde depolanan dosyalara internet üzerinden herhangi bir yerden erişmesine, medyayı uzaktan akışa, ana ağlar ve diğer bulut depolama hizmetleri arasındaki dosyaları senkronize etmesine ve bağlantılar aracılığıyla dosyaları paylaşmalarına izin verir.
AICLOUD’da keşfedilen güvenlik açığı, ASUS’un 3.0.0.4_382 Serisi, 3.0.0.4_386 Serisi, 3.0.0.4_388 Serisi ve 3.0.0.6_102 serisi dahil olmak üzere birden fazla ürün yazılımı şubesi için düzeltme düzeltmeleri ile geniş bir model yelpazesini etkiler.
Kullanıcıların, satıcının destek portalında veya ürün bulucu sayfasında bulabilecekleri modelleri için mevcut en son ürün yazılımı sürümüne yükseltmeleri önerilir. Ürün yazılımı güncellemelerinin nasıl uygulanacağına dair ayrıntılı talimatlar burada bulunabilir.
ASUS ayrıca kullanıcılara kablosuz ağlarını ve yönlendirici yönetim sayfalarını güvence altına almak için farklı şifreler kullanmalarını ve harf, sayılar ve sembollerin bir karışımı ile en az 10 karakter uzunluğunda olduklarından emin olun.
Yaşam sonu ürünlerinin etkilenen kullanıcılarına AICLOOD’u tamamen devre dışı bırakmaları ve WAN, bağlantı noktası yönlendirme, DDNS, VPN Sunucusu, DMZ, bağlantı noktası tetikleme ve FTP hizmetleri için internet erişimini kapatmaları önerilir.
CVE-2025-2492 için aktif sömürü raporu veya kamuoyu kavram kanıtı bulunmasa da, saldırganlar genellikle cihazları kötü amaçlı yazılımlarla enfekte etmek veya DDOS sürülerine almak için bu kusurları hedefliyor.
Bu nedenle, ASUS yönlendirici kullanıcılarının en son ürün yazılımına mümkün olan en kısa sürede yükseltmeleri şiddetle tavsiye edilir.