华硕产品安全性提示
华硕产品安全性提示
我们一丝不苛地确保华硕产品安全无虞,以便保护重要客户的隐私。 我们致力于依据所有适用的法律规范,提升对安全性及个人信息的保护程度,也欢迎客户随时报告有关产品的安全性或隐私权问题。您提供给华硕的信息只会用来协助解决所报告的安全漏洞或问题,过程中可能会与您联络,索取更多相关信息。
如何向华硕报告安全漏洞或问题
欢迎客户随时报告有关安全性和隐私权的问题及疑虑,若要联络我们,请利用检举专用电子邮件地址:https://www.asus.com/securityadvisory/。为方便我们迅速处理您的疑虑,电子邮件中请附上下列信息。
- 您的全名及联络方式, 联络方式可为电子邮件地址、电话号码或任何其他您偏好的联络方式。若提供电话号码,请附上完整的国家代码、区域号码和分机号码(若有)。
- 针对要报告的问题提供完整、详实的信息。视情况而定,应包括下列信息:
- 有相关疑虑的华硕服务或系统名称。
- 受影响硬件产品的产品类型、产品名称和型号。
- 受影响华硕软件产品的名称、说明和版本编号。
- 针对问题或疑虑提供完整、详实的说明,并附上您认为相关的任何背景信息,以及有助于我们重现和/或解决问题的任何其他相关信息。
负责任的报告行为准则
华硕感谢客户及广大华硕社群的贡献,协助我们改善产品和服务的安全性。然而,调查或报告任何问题时,请您避免轻率行动,并将下列事项铭记在心:
- 未经授权,请勿尝试存取或修改任何华硕服务、系统、产品或软件。
- 请勿揭露、修改、销毁或误用任何您发现的资料。
- 报告问题时,与任一方交流的所有信息务必彻底保密。
接下来的流程?
等到解决报告的问题后,我们会向所有受影响的客户提供适当的解决方案。 我们会将这件事视为第一优先,并在时机成熟时,立即推出解决方案。
华硕也会建立最新软件更新的清单,并附上已修正问题的说明。虽然只要情况允许,我们都会尽量通知客户,但也建议客户定期浏览此页面,掌握第一手更新消息。
最新的安全性更新
为了防范和保护您的设备及数据安全,华硕已经针对旗下各款路由器的发布固件更新。新的固件更新包含增强的安全保护,防止未授权的访问、更改、数据泄露、恶意软件、网络钓鱼和ddos攻击。
建议您定期检查并更新安全程序,这样会更好地保护您的设备和数据免受不必要入侵。强烈建议采取以下措施:
- 将您的路由器更新为最新固件。您可以从华硕官方网站下载更新最新固件。 https://www.asus.com.cn/support/ 或相应产品页https://www.asus.com.cn/Networking/。
- 为无线网络和路由器管理页设置单独的有效密码。使用长度至少为8个字符的密码,包括大写字母、数字和符号的组合。不建议对多个设备或服务使用相同的密码。
- 如果您的路由器支持AIProtection,建议您启用,这将会使您的路由具备更完善的安全保护。有关如何执行此操作的说明,请参阅手册或访问ASUS官网 https://www.asus.com.cn/Networking/.
请注意如果您选择不安装该新的固件版本,那么,为了避免潜在的安全威胁,我们强烈建议您禁用WAN或AiCloud的远程访问,并将路由器重置为默认设置。
如果您已经安装了最新固件版本,请忽略此通知。
如果您有任何问题或疑虑,请通过我们的安全咨询报告系统联系华硕: https://www.asus.com/securityadvisory/
有关路由器设置的进一步帮助和网络安全介绍,请访问
https://www.asus.com/support/FAQ/1008000
https://www.asus.com/support/FAQ/1039292
华硕已察觉下列的安全漏洞。 我们非常重视您的安全性及隐私权,目前正致力于为受影响的ZenFone型号提供软件更新。一旦可用后,请尽快将ZenFone更新到最新软件版本。在此同时,我们强烈建议您使用ASUS Mobile Manager或安装其它可靠的第三方安全APP,以进一步提升设备的安全性。
可能的漏洞:
ASUS Contact
- 个人联系方式’ 用户信息(姓名, 通话记录, 设置)容易被访问、添加或删除。
- 黑名单信息(拦截电话号码)容易被访问、添加或删除。
ASUS Message
- 个人信息可能泄露。
- 无需用户权限,任何app可发送语音消息。
ASUS Launcher
- 无需权限解锁app
以下是为所有用户推荐的一些安全防范措施:
(1)确保您的操作系统和软件更新到最新版本,你可以从华硕网站上找到(www.asus.com.cn)。使用位于华硕网站右上方的搜索工具,搜索你的设备型号,然后按照这个路径:Support > Driver & Utility > Driver & Tools > BIOS & Firmware。在这里,您可以再次检查最新版本是否与您的设备上的相同或者您的设备不能自动更新的情况下,您可选择下载。
(2) 不要在Google Play之外下载任何应用程序。
(3) 卸载以前从非 google Play 所下载的所有应用。
(4) 安装ASUS Mobile Manager或可靠的第三方安全应用程序,以增强设备和应用程序的安全性。
漏洞: OpenVPN 用户可使用密码登陆到网页化 UI 界面
解决方案:
请立即更新华硕路由器固件
如果无法进行固件更新,应采用下列的措施,不过强烈建议您尽早更新固件:
• 关闭 VPN (适用于限量型号)
• 再次修改登录 ID 和密码。密码必须至少8个字符,包含字母、数字和特殊符号。
受影响的产品
固件型号(最低推荐的版本)
BRT-AC828 3.0.0.4.380.7526
GT-AC5300 3.0.0.4.384.21045
RT-AC5300 3.0.0.4.384.20942
RT-AC88U 3.0.0.4.384.20942
RT-AC3200 3.0.0.4.382.50470
RT-AC3100 3.0.0.4.384.20942
RT-AC88U 3.0.0.4.382.50702
RT-AC88R 3.0.0.4.382.50702
RT-AC86U 3.0.0.4.384.21045
RT-AC2900 3.0.0.4.384.21045
RT-AC68U 3.0.0.4.384.20942
RT-AC68R 3.0.0.4.384.20942
RT-AC68P 3.0.0.4.384.20942
RT-AC68W 3.0.0.4.384.20942
RT-AC68UF 3.0.0.4.384.20942
RT-AC1900U 3.0.0.4.384.20942
RT-AC1900 3.0.0.4.384.20942
RT-AC56U 3.0.0.4.382.50624
RT-AC56S 3.0.0.4.382.50624
RT-AC66U_B1 3.0.0.4.384.20942
RT-AC1750_B1 3.0.0.4.384.20942
RT-AC66U 3.0.0.4.382.50470
RT-AC66R 3.0.0.4.382.50470
RT-AC66W 3.0.0.4.382.50470
RT-AC55UHP 3.0.0.4.382.50470
RT-AC55U 3.0.0.4.382.50470
RT-AC1200G 3.0.0.4.382.50624
RT-AC1200G+ 3.0.0.4.382.50624
RT-N800HP 3.0.0.4.382.50470
RT-N66U_C1 3.0.0.4.384.20942
RT-N66U 3.0.0.4.382.50470
RT-N18U 3.0.0.4.382.50470
Lyra 3.0.0.4.382.11600
Lyra mini 3.0.0.4.382.11600
Lyra Trio 3.0.0.4.382.20208
BlueCave 3.0.1.4.383.19267
华硕已察觉下列的安全漏洞。 我们非常重视您的安全性及隐私权,目前正致力于为受影响的ZenFone/ZenPad型号提供软件更新。一旦可用后,请尽快将ZenFone/ZenPad更新到最新软件版本。在此同时,我们强烈建议您使用ASUS Mobile Manager或安装其它可靠的第三方安全APP,以进一步提升设备的安全性。
可能的漏洞:
• 恶意应用程序可以获得bug报告。
• 恶意应用程序可以截图(带有截图动画)。
• 任意应用程序可以通过互联网远程安装,也可以在运行后卸载。
• 命令可以作为系统用户执行。
以下是为所有用户推荐的一些安全防范措施:
(1) 确保您的操作系统和软件更新到最新版本,你可以从华硕网站上找到(www.asus.com.cn)。使用位于华硕网站右上方的搜索工具,搜索你的设备型号,然后按照这个路径:Support > Driver & Utility > Driver & Tools > BIOS & Firmware。在这里,您可以再次检查最新版本是否与您的设备上的相同或者您的设备不能自动更新的情况下,您可选择下载。
(2) 不要在Google Play之外下载任何应用程序。
(3) 卸载以前从非 google Play 所下载的所有应用。
(4) 安装ASUS Mobile Manager或可靠的第三方安全应用程序,以增强设备和应用程序的安全性。
Talos Intelligence 已发现 VPNFilter 所瞄准的设备品牌/型号比最初想象得更多,下列华硕路由器可能是潜在的目标:
RT-AC66U
RT-N10 (EOL)
RT-N10E (EOL)
RT-N10U (EOL)
RT-N56U (EOL)
RT-N66U
为了帮助这些路由器的所有者采取必要的预防措施,我们编制了安全清单:
(1) 将设备重置为工厂默认设置:按住背部的重置按钮至少5秒钟,直到电源LED开始闪烁。
(2) 更新所有设备到最新固件。
(3) 确保默认的管理密码已被更改为更安全的密码。
(4) 禁用远程管理(默认禁用,只能通过高级设置启用)。
(5) 在高级设置中启用URL过滤器 -> 防火墙. 将过滤器表类型设置为黑名单。在URL过滤器列表中添加"photobucket" 和 "toknowall" 。
对于使用以上 EOL 型号的用户,我们强烈建议您使用 AiProtection 升级您的路由器。有广泛选择的华硕及ROG路由器搭载Trend Micro™ 技术的AiProtection智能网络卫士。任何时间检测到威胁,并在个人数据受损害前,您的设备和恶意服务器之间的连接就会被阻断。恶意服务器列表会不断更新,实现与Trend Micro安全云的实时同步更新,确保让您获得安全的网络环境。
漏洞: CVE-2018-5999, CVE-2018-6000
受影响的华硕及ROG路由器产品如下面列表。
这个漏洞绕过由所有者所设定的任何用户/密码变更。
可能变化路由器设置:
- 端口号更改
- VPN 账号 & 密码变更
- DDNS 变更
- UI 语言变更
解决方案:
请立即将您的华硕/ROG路由器更新到最新的固件。
如固件更新无法进行,可采用下面列出的缓解功能,然而,强烈建议用户尽快更新固件:
- 禁用 SSH / Telnet
- 禁用 VPN (适用于个别型号)
- 启用 AiProtection (适用于个别型号)
- 重新变更登录 ID & 密码。密码至少应该有 8 个字符,必须包括字母,数字及特殊符号。
Affected Products:
| 型号 | 固件(最低推荐版本) |
| BRT-AC828 | 3.0.0.4.380.7432 |
| GT-AC5300 | 3.0.0.4.384.20287 |
| RT-AC5300 | 3.0.0.4.384.20287 |
| RT-AC88U | 3.0.0.4.384.10007 |
| RT-AC3100 | 3.0.0.4.384.10007 |
| RT-AC86U | 3.0.0.4.384.10007 |
| RT-AC2900 | 3.0.0.4.384.10007 |
| RT-AC68 series | 3.0.0.4.384.10007 |
| RT-AC1900 series | 3.0.0.4.384.10007 |
| RT-AC66U_B1 | 3.0.0.4.384.10007 |
| RT-AC1750_B1 | 3.0.0.4.384.10007 |
| RT-AC87 series | 3.0.0.4.382.50010 |
| RT-AC3200 | 3.0.0.4.382.50010 |
| RT-AC56U | 3.0.0.4.382.50010 |
| RT-AC55U | 3.0.0.4.382.50018 |
| RT-AC1200 | 3.0.0.4.380.10446 |
| RT-N18U | 3.0.0.4.382.39935 |
| RT-AC51U+ | 3.0.0.4.380.10446 |
| RT-AC52U_B1 | 3.0.0.4.380.10446 |
| Lyra | 3.0.0.4.382.11572 |
| Lyra mini | 3.0.0.4.382.11572 |
| RT-AC66U | 3.0.0.4.380.8228 |
| RT-N66U | 3.0.0.4.380.8228 |
| RT-N600 | 3.0.0.4.380.10446 |
| RT-AC1200GU | 3.0.0.4.380.10446 |
| RT-AC1200G | 3.0.0.4.382.50276 |
| RT-AC1200G+ | 3.0.0.4.382.50276 |
| RT-AC53 | 3.0.0.4382.10446 |
| RT-AC750GF | 3.0.0.4382.10446 |
| RT-AC53U | 3.0.0.4.380.8228 |
| RT-N12_D1 | 3.0.0.4.380.8228 |
| RT-N12HP_B1 | 3.0.0.4.380.8228 |
| RT-AC56S | 3.0.0.4.382.50624 |
| RT-N14U | 3.0.0.4.380.8285 |
| RT-N14UHP | 3.0.0.4.380.8287 |
| RT-AC54U | 3.0.0.4.380.8228 |
| RT-ACRH17 | 3.0.0.4.382.50243 |
| RT-AC55UHP | 3.0.0.4.382.50276 |
| RT-N300 | 3.0.0.4.380.8228 |
| RT-AC1200HP | 3.0.0.4.380.8228 |
| RT-AC51U | 3.0.0.4.380.8228 |
| RT-AC750 | 3.0.0.4.380.8228 |
| RT-AC52U | 3.0.0.4.380.8241 |
| RT-AC58U | 3.0.0.4.380.8228 |
| RT-ACRH13 | 3.0.0.4.380.8228 |
| RT-AC1300UHP | 3.0.0.4.380.8228 |
| RT-N11P_B1 | 3.0.0.4.380.10410 |
| RT-N300_B1 | 3.0.0.4.380.10410 |
| RT-N12 VP_B1 | 3.0.0.4.380.10410 |
| RT-N12+ B1 | 3.0.0.4.380.10410 |
| RT-N12+ PRO | 3.0.0.4.380.10410 |
| RT-N12E C1 | 3.0.0.4.380.10410 |
华硕正与芯片组供应商紧密合作,以解决WPA2安全协议中的漏洞,该协议影响了部分产品,并非所有的华硕产品(请参阅下面的列表)。KRACK 仅在突出先前更新中特定条件下,会利用此安全漏洞。
在这些情况下,您的网络配置更安全:
(1) 路由器和网关在默认模式下工作(路由器模式)和AP模式。
(2) 范围扩展器在AP模式下工作。
(3) 当使用电力线适配器和交换机产品时。
华硕正在积极寻找解决方案,并将继续发布软件更新。了解更多:https://www.asus.com.cn/support/
在默认模式下不受 KRACK 影响的路由器列表:
GT-AC5300
RT-AC1200
RT-AC1200G
RT-AC1200G Plus
RT-AC1200HP
RT-AC1300HP
RT-AC1900
RT-AC1900P
RT-AC3100
RT-AC3200
RT-AC51U
RT-AC52U
RT-AC53
RT-AC5300
RT-AC53U
RT-AC54U
RT-AC55U
RT-AC55UHP
RT-AC56S
RT-AC56U
RT-AC58U
RT-AC66U
RT-AC66U B1
RT-AC66W
RT-AC68P
RT-AC68UF
RT-AC68W
RT-AC86U
RT-AC87U
RT-AC88U
RT-ACRH17
RT-ACRH13
RT-N10P V3
RT-N11P B1
RT-N12 D1
RT-N12 VP B1
RT-N12+
RT-N12+ B1
RT-N12E C1
RT-N12E_B1
RT-N12HP B1
RT-N14U
RT-N14UHP
RT-N16
RT-N18U
RT-N300 B1
RT-N56U
RT-N56U B1
RT-N65U
RT-N66U
RT-N66W
BRT-AC828
DSL-AC87VG
DSL-AC52U
DSL-AC55U
DSL-AC56U
DSL-AC68R
DSL-AC68U
DSL-N10_C1
DSL-N12E_C1
DSL-N12HP
DSL-N12U
DSL-N12U B1
DSL-N12U D1
DSL-N12U_C1
DSL-N14U
DSL-N14U B1
DSL-N16
DSL-N16U
DSL-N17U
DSL-N55U D1
DSL-N55U_C1
4G-AC68U
RT-AC65U
RT-AC85U
华硕已察觉最近的 WPA2 安全漏洞。 我们非常重视您的安全性及隐私权,目前正致力于尽快推出完善的解决方案。 在此同时,我们想协助厘清潜在威胁的严重性,并让我们的重要客户了解可采取的适当步骤,避免或降低遭到入侵的威胁。
只有在攻击者与您的无线网络实际距离相近,并可存取网络时,您的设备才会遭到攻击。 此攻击行为无法窃取采用适当端对端加密的安全连接上的银行信息、密码或其他数据。 然而,攻击者可能经由遭攻击的 WiFi 网络,在不安全连接上撷取并读取此信息。 根据网络设定,攻击者也可能重新导向网络流量、传送无效数据至设备,或甚至将恶意代码植入网络。
我们正积极与芯片组供货商合作,修正此漏洞,不久后就会针对受影响的路由器释出固件补丁。 在此固件补丁释出之前,以下是所有使用者都应遵循的一些注意事项:
(1) 在路由器和装置更新之前,请避免使用公共 Wi-Fi 和热点。 可能的话,请使用移动电话通讯网络联机。
(2) 务必连接至可信赖或经验证的安全服务。 若网页采用 HTTPS 或其他安全连接,其 URL 会包含 HTTPS。 若使用 TLS 1.2 保护连接,您在该服务上的活动目前是安全的。
(3) 确保操作系统和防病毒软件为最新版。 Microsoft 最近已更新 Windows,修正其最新操作系统上的此漏洞, Google 和 Apple 不久后都陆续跟进。
(4) 如有疑虑,为安全起见,请使用移动电话通讯网络或有线连接(以太网)存取因特网。 此漏洞仅影响 Wi-Fi 路由器与连接至受攻击 WiFi 的设备之间的 802.11 流量。
04/24/2017 新固件用于 无线路由器 RT-AC5300/ 无线路由器 RT-AC3100
04/14/2017 新固件用于 无线路由器 RT-AC53
03/31/2017 新固件用于 无线路由器 RT-AC87U/ RT-AC87R/ RT-AC3200/ RT-AC68U/ RT-AC68R/ RT-AC68W/ RT-AC68P/ RT-AC1900P/ RT-AC66U/ RT-AC66R/ RT-AC1750/ RT-AC56U/ RT-AC56R/ RT-N66U/ RT-N66R/ RT-N66W/ RT-AC53U/ RT-AC51U/ RT-AC750/ RT-N300/ RT-N11P/ RT-N12+/ RT-N12+ Pro/ RT-N12E B1/
03/24/2017 新固件用于 无线网卡 PCE-AC56
12/23/2016 新固件用于 无线路由器 RT-AC5300 / RT-AC88U / RT-AC3100 / RT-AC3200 / RT-AC87U / RT-AC87R / RT-AC66U / RT-AC66W / RT-AC1750 / RT-AC55UHP / RT-AC55U / RT-AC52U / RT-N56U / RT-N12 D1
12/13/2016 新固件用于 无线路由器 RT-AC68U / RT-AC68R / RT-AC68W / RT-AC68UF / RT-AC68P / RT-AC1900P / RT-AC1900 / RT-AC66U_B1
10/29/2016 新固件用于 网卡 RP-N12 / RP-N14 / RP-N53 / RP-AC52/ RP-AC56/ Media Bridge EA-N66/ EA-N66R
10/17/2016 新 ATK 驱动程序用于
笔记本电脑 K53SV
09/10/2016 新固件用于 无线路由器 RT-AC66U /
RT-AC66R /
RT-AC66W /
RT-AC1750
名人堂
我们由衷感谢下列人员负责任地向我们进行了披露。他们是首批通知证实的漏洞且同意经由华硕电脑公司进行修复的报告人,感谢你们并祝贺你们展示了自己的专业技能、安全知识及负责任的行为。
- Aamir Usman Khan
- Khun Myat
- Ko Ko Naing
- Mustafa Diaa ( @c0braBaghdad1 )
- Nyi Htet Aung
- Pranshu Tiwari
- Tarun Mahour
- Wai Yan Aung
- Tao Sauvage, IOActive, Senior Security Consultant
- Priyanshu Gupta
- Wai Yan Aung
- Talib Osmani
- Javier Aguinaga
- Chaoyi Lu
- Resecurity International
- Salman Sajid Khan
- Tijo Davis
- Roy Solberg
- CodeBreaker of STARLabs
- Mustafa Kemal Can
- Jesus Arturo Espinoza Soto
- Wai Yan Aung
- JAIMEivanM mendoza ribera
- Suraj Gourkar
- Sabeer Bijapur
- Hamza Mandil
- bharat
- Mustafa Khan
- AbdelRhman Adel
- Mohammed Adam
- Thejus Krishnan
- Numan ÖZDEMİR
- Hazem Osama
- Pyae Phyoe Thu
- Hein Thant Zin
- Ram Makwana
- Wai Yan Aung
- Himanshu Rahi
- Ashik S N
- Dhiyaneshwaran
- Wai Yan Aung
- Pratik Raut
- CYBERNETIV DIGITAL
- Duda, Przemyslaw
- Ruikai Liu
- Fakhri Zulkifli
- Matthew Cundari
- Deepanshu Tyagi
- Mayank
- Baiqing Lyu (吕柏庆)
- El-Staifi
- Wai Yan Aung
- Bill Ben Haim
- Sumit Sahoo
- Lakshay Gupta
- tty0
- Rick Ramgattie
- Nishant Saurav
- Mohammed Adel
- Wai Yan Aung
- Pethuraj M
- Lawrence Amer
- Alban Cenaj
- Wai Yan Aung
- Yeasir Arafat
- Anil Tom
- Sara Badran
- Yonghui Han of Fortinet's FortiGuard Labs
- Dmitriy Alekseev
- Fish Getachew
- Nathu Nandwani
- Nicodemo Gawronski & Ana Maria Popescu @amiutza
- Diego Juarez from Core Security Technologies for Elevation of Privilege vulnerability in Asus Aura Sync.
- Mohamed A. Baset of Seekurity.com SAS de C.V.
- Emad Abou Shanab
- Konduru Jashwanth
- Nikhil Srivastava
- Dan Nino I. Fabro.
- Kunal Bahl
- HaoTian Xiang
- Niv Levi
- Chris Wood
- Vasim Shaikh (India)
- Wen Bin Kong
- Florian Kunushevci
- Pritesh Mistry
- Ismail Tasdelen
- Dipak Prajapati
- Vasim Shaikh (India)
- Akaash M. Sharma
- Kushal Sharma
- Adesh Nandkishor Kolte
- Chirag Gupta
- Osanda Malith Jayathissa (@OsandaMalith)
- Chacko K Abraham
- Suvadip Kar
- Ankit Singh Nikhil Sahoo and Ipsita Subhadarshan Sahoo
- Yassine Nafiai
- Guy Arazi
- Blazej Adamczyk
- Joaquim Espinhara
- Beyond Security’s SecuriTeam Secure Disclosure program
- David Maciejak of Fortinet's FortiGuard Labs
- Ketankumar Godhani
- Ankit Singh
- Junaid Farhan
- Daniel Diez
- Sankalpa Nirmana
- Vyshnav Vizz
- Samet Şahin
- Ranjeet Jaiswal
- Yoko
- Sreedeep Ck Alavil
- Cool Alfaiz
- Manav Infosec
- Mohammad Abdullah
- Cool Alfaiz
- CDL
- Kishan Kumar
- Yunus Yildirim
- Muhammad Hammad
- Chris
- Steave Afters
- Jhack