近日，华硕公司发布了一则紧急安全警告，其多款启用AiCloud功能的路由器被发现存在一个严重的身份验证绕过漏洞，该漏洞被追踪为CVE-2025-2492，CVSS v4评分高达9.2，属于“危急”级别。这意味着攻击者无需任何身份验证，仅通过精心构造的网络请求，就可能远程利用该漏洞，在路由器上执行未经授权的操作，从而对用户的网络和数据安全构成严重威胁。

AiCloud是华硕路由器的一项重要功能，它允许用户将路由器变成一个小型私人云服务器。借助该功能，用户可以从任何地方通过互联网访问连接到路由器USB端口的存储设备中的文件，还能远程流式传输媒体内容、同步家庭网络与其他云存储服务之间的文件，以及通过链接与他人共享文件。然而，正是这一便捷功能如今却成为了安全漏洞的源头。

此次受影响的华硕路由器固件系列范围较广，包括3.0.0.4_382系列、3.0.0.4_386系列、3.0.0.4_388系列和3.0.0.6_102系列。幸运的是，华硕已经在2025年2月之后发布的固件更新中修复了该漏洞。因此，华硕强烈建议所有用户立即检查其路由器的固件版本，并尽快升级到最新的固件版本。用户可以在华硕支持门户或产品查找页面上找到适合其型号的最新固件版本。

除了升级固件外，华硕还为用户提供了其他安全建议。首先，用户应为无线网络和路由器管理页面设置不同的、复杂的密码，密码长度至少为10个字符，并包含字母、数字和符号的组合。其次，对于那些无法迅速进行固件更新或正在使用已停产路由器的用户，华硕建议禁用AiCloud功能，以及关闭广域网（WAN）的远程访问、端口转发、动态域名服务（DDNS）、虚拟专用网络（VPN）服务器、非军事区（DMZ）、文件传输协议（FTP）和端口触发等服务。

尽管目前尚未有针对CVE-2025-2492漏洞的活跃利用报告或公开的概念验证代码，但安全专家指出，攻击者通常会利用此类漏洞来感染设备，或将其纳入分布式拒绝服务（DDoS）攻击网络。因此，为了确保网络和数据的安全，华硕路由器用户应高度重视此次漏洞事件，尽快采取上述措施升级固件并加强安全防护。

资讯来源：bleepingcomputer

转载请注明出处和本文链接