ASUS Product Security Advisory

    ASUS 產品安全公告

    我們一絲不苛地確保 ASUS 產品安全無虞,以便保護重要客戶的隱私。 我們致力於依據所有適用的法律規範,提升對安全性及個人資訊的保護程度,也歡迎客戶隨時回報有關產品的安全性或隱私權問題。 您提供給 ASUS 的資訊只會用來協助解決所回報的安全性漏洞或問題, 過程中可能會與您聯絡,索取更多相關資訊。

    如何向 ASUS 回報安全性漏洞或問題

    歡迎客戶隨時回報有關安全性和隱私權的問題及疑慮,若要聯絡我們,請利用專用電子郵件地址: security@asus.com。 為方便我們迅速處理您的疑慮,電子郵件中請附上下列資訊:

    1. 您的全名及聯絡方式, 聯絡方式可為電子郵件地址、電話號碼或任何其他您偏好的聯絡管道。 若提供電話號碼,請附上完整的國碼、區域號碼和分機號碼(若有)。
    2. 針對要回報的問題提供完整、詳實的資訊。 視情況而定,應包括下列資訊:
      1. 有相關疑慮的 ASUS 服務或系統名稱。
      2. 受影響硬體產品的產品類型、產品名稱和型號。
      3. 受影響 ASUS 軟體產品的名稱、說明和版本編號。
      4. 針對問題或疑慮提供完整、詳實的說明,並附上您認為相關的任何背景資訊,以及有助於我們重現和/或解決問題的任何其他相關資訊。

    負責任的回報行為準則

    ASUS 感謝客戶及廣大 ASUS 社群的貢獻,協助我們改善產品和服務的安全性。 然而,調查或回報任何問題時,請您避免輕率行動,並將下列事項銘記在心:

    1. 未經授權,請勿嘗試存取或修改任何 ASUS 服務、系統、產品或軟體。
    2. 請勿揭露、修改、銷毀或濫用任何您發現的資料。
    3. 回報問題時,與任一方交流的所有資訊務必徹底保密。

    接下來的流程?

    等到解決回報的問題後,我們會向所有受影響的客戶提供適當的解決方案。 我們會將這件事視為第一優先,並在時機成熟時,立即推出解決方案。

    ASUS 也會建立最新軟體更新的清單,並附上已修正問題的說明。 雖然只要情況允許,我們都會盡量通知客戶,但也建議客戶定期瀏覽此頁面,掌握第一手更新消息。

    最新的安全性更新

    08/07/2018 ZenFone/ZenPad 裝置最新軟體公告

    ASUS 已察覺下列漏洞。 我們非常重視安全性,並且正努力為受影響的 ZenFone/ZenPad 機型提供軟體更新。 一旦更新推出,請盡快將 ZenFone/ZenPad 更新至最新軟體版本。 在此之前,強烈建議您使用 ASUS Mobile Manager 或安裝其他可靠的第三方安全性應用程式,以進一步保護您的裝置。

    可能的漏洞:
    • 惡意應用程式可以取得錯誤報告。
    • 惡意應用程式可以取得截圖(含截圖動畫)。
    • 任意應用程式都可透過網際網路遠端安裝,也可以在執行後解除安裝。
    • 可以以系統使用者的身分執行指令。

    以下是向所有使用者建議的安全預防措施:
    (1) 確保作業系統和軟體已更新至最新版本,您可以在 ASUS 網站 (www.asus.com) 上找到最新版本。 使用位於 ASUS 網站右上角的搜尋工具搜尋裝置型號,然後依照此路徑: 支援 > 驅動程式和公用程式 > 驅動程式和工具 > BIOS 和韌體。 您可在此處確認最新版本是否與裝置的版本相同,或者在裝置未自動更新的情況下下載最新版本。
    (2) 請勿在 Google Play 之外下載任何應用程式。
    (3) 將之前從非 Google Play 來源下載的所有應用程式解除安裝。
    (4) 安裝 ASUS Mobile Manager 或可靠的第三方安全性應用程式,以加強裝置和應用程式的安全性。

    06/08/2018 VPNFilter 惡意軟體安全公告

    Talos Intelligence 最近發現 VPNFilter 瞄準比初始版本更多的品牌和型號,下列 ASUS 路由器可能是潛在目標:
    RT-AC66U
    RT-N10 (EOL)
    RT-N10E (EOL)
    RT-N10U (EOL)
    RT-N56U (EOL)
    RT-N66U

    為了協助路由器擁有者採取必要的預防措施,我們製作了一份安全性檢查清單:
    (1) 將裝置重設為出廠預設值: 按住後側的重設按鈕至少五秒,直到電源 LED 開始閃爍。
    (2) 將所有裝置更新至最新韌體。
    (3) 確保預設的管理員密碼已變更成較安全的密碼。
    (4) 停用遠端管理(預設為停用,可透過進階設定啟用)。
    (5) 在進階設定 -> 防火牆中啟用 URL 篩選器。 將篩選器表類型設為黑名單。 在 URL 篩選器清單中新增「photobucket」和「toknowall」。

    對於使用上述 EOL 型號的使用者,強烈建議您升級至具備 AiProtection. 的路由器。有多款 ASUS 和 ROG 路由器均提供來自 Trend Micro 的 AiProtection。 每當偵測到威脅,就會封鎖裝置與惡意伺服器之間的連線,以防止個人資料外洩。 自動與 Trend Micro 雲端資料庫同步,以持續更新惡意伺服器清單,確保網路環境常保安全。

    04/03/2018 ASUS 路由器安全性漏洞通知(CVE-2018-5999、CVE-2018-6000)

    漏洞: CVE-2018-5999、CVE-2018-6000

    以下清單列出受影響的 ASUS 和 ROG 路由器產品。

    此漏洞會繞過擁有者所做的任何使用者/密碼變更。
    對路由器設定的可能變更:

    • 埠號變更
    • VPN 帳戶和密碼變更
    • DDNS 變更
    • UI 語言已變更

    解決方法:
    請立即將 ASUS 和 ROG 路由器更新至最新韌體。
    如果無法進行韌體更新,應採取下列措施,但強烈建議使用者盡早更新韌體:

    • 停用 SSH / Telnet
    • 停用 VPN(僅限特定型號)
    • 啟用 AiProtection(僅限特定型號)
    • 再次變更登入 ID 和密碼。 密碼應至少有 8 個字元,使用字母、數字和特殊符號的組合。

    受影響的產品:
    型號 韌體(最低建議版本)
    BRT-AC828 3.0.0.4.380.7432
    GT-AC5300 3.0.0.4.384.20287
    RT-AC5300 3.0.0.4.384.20287
    RT-AC88U 3.0.0.4.384.10007
    RT-AC3100 3.0.0.4.384.10007
    RT-AC86U 3.0.0.4.384.10007
    RT-AC2900 3.0.0.4.384.10007
    RT-AC68 系列 3.0.0.4.384.10007
    RT-AC1900 系列 3.0.0.4.384.10007
    RT-AC66U_B1 3.0.0.4.384.10007
    RT-AC1750_B1 3.0.0.4.384.10007
    RT-AC87 系列 3.0.0.4.382.50010
    RT-AC3200 3.0.0.4.382.50010
    RT-AC56U 3.0.0.4.382.50010
    RT-AC55U 3.0.0.4.382.50018
    RT-AC1200 3.0.0.4.380.10446
    RT-N18U 3.0.0.4.382.39935
    RT-AC51U+ 3.0.0.4.380.10446
    RT-AC52U_B1 3.0.0.4.380.10446
    Lyra 3.0.0.4.382.11572
    Lyra mini 3.0.0.4.382.11572
    RT-AC66U 3.0.0.4.380.8228
    RT-N66U 3.0.0.4.380.8228
    RT-N600 3.0.0.4.380.10446
    RT-AC1200GU 3.0.0.4.380.10446
    RT-AC1200G 3.0.0.4.382.50276
    RT-AC1200G+ 3.0.0.4.382.50276
    RT-AC53 3.0.0.4382.10446
    RT-AC750GF 3.0.0.4382.10446
    RT-AC53U 3.0.0.4.380.8228
    RT-N12_D1 3.0.0.4.380.8228
    RT-N12HP_B1 3.0.0.4.380.8228
    RT-AC56S 3.0.0.4.382.50624
    RT-N14U 3.0.0.4.380.8285
    RT-N14UHP 3.0.0.4.380.8287
    RT-AC54U 3.0.0.4.380.8228
    RT-ACRH17 3.0.0.4.382.50243
    RT-AC55UHP 3.0.0.4.382.50276
    RT-N300 3.0.0.4.380.8228
    RT-AC1200HP 3.0.0.4.380.8228
    RT-AC51U 3.0.0.4.380.8228
    RT-AC750 3.0.0.4.380.8228
    RT-AC52U 3.0.0.4.380.8241
    RT-AC58U 3.0.0.4.380.8228
    RT-ACRH13 3.0.0.4.380.8228
    RT-AC1300UHP 3.0.0.4.380.8228
    RT-N11P_B1 3.0.0.4.380.10410
    RT-N300_B1 3.0.0.4.380.10410
    RT-N12 VP_B1 3.0.0.4.380.10410
    RT-N12+ B1 3.0.0.4.380.10410
    RT-N12+ PRO 3.0.0.4.380.10410
    RT-N12E C1 3.0.0.4.380.10410


    12/30/2017 釋出下列型號的新韌體: 無線路由器 GT-AC5300/ RT-AC5300/ RT-AC88U/ RT-AC3100/ RT-AC87U/ RT-AC87R/ RT-AC3200/ RT-AC86U/ RT-AC68 系列/ RT-AC55U/ RT-N18U/
    10/31/2017 WPA2 通訊協定漏洞的安全公告更新

    ASUS 正與晶片組供應商密切合作解決 WPA2 安全性通訊協定中的漏洞,此漏洞會影響部分但並非所有 ASUS 產品(請見下列清單)。 KRACK 只能在上次更新所述的特定條件下利用此漏洞。 網路設定在下列條件下較安全:

    (1) 路由器和閘道器以預設模式(路由器模式)和 AP 模式運作。
    (2) 範圍延伸器以 AP 模式運作。
    (3) 使用電力線轉接器和交換器產品。

    ASUS 正積極尋找解決方法,並將繼續發佈軟體更新。 深入瞭解: https://www.asus.com/support/

    在預設模式下不受 KRACK 影響之路由器的完整清單:
    GT-AC5300
    RT-AC1200
    RT-AC1200G
    RT-AC1200G Plus
    RT-AC1200HP
    RT-AC1300HP
    RT-AC1900
    RT-AC1900P
    RT-AC3100
    RT-AC3200
    RT-AC51U
    RT-AC52U
    RT-AC53
    RT-AC5300
    RT-AC53U
    RT-AC54U
    RT-AC55U
    RT-AC55UHP
    RT-AC56S
    RT-AC56U
    RT-AC58U
    RT-AC66U
    RT-AC66U B1
    RT-AC66W
    RT-AC68P
    RT-AC68UF
    RT-AC68W
    RT-AC86U
    RT-AC87U
    RT-AC88U
    RT-ACRH17
    RT-ACRH13
    RT-N10P V3
    RT-N11P B1
    RT-N12 D1
    RT-N12 VP B1
    RT-N12+
    RT-N12+ B1
    RT-N12E C1
    RT-N12E_B1
    RT-N12HP B1
    RT-N14U
    RT-N14UHP
    RT-N16
    RT-N18U
    RT-N300 B1
    RT-N56U
    RT-N56U B1
    RT-N65U
    RT-N66U
    RT-N66W
    BRT-AC828
    DSL-AC87VG
    DSL-AC52U
    DSL-AC55U
    DSL-AC56U
    DSL-AC68R
    DSL-AC68U
    DSL-N10_C1
    DSL-N12E_C1
    DSL-N12HP
    DSL-N12U
    DSL-N12U B1
    DSL-N12U D1
    DSL-N12U_C1
    DSL-N14U
    DSL-N14U B1
    DSL-N16
    DSL-N16U
    DSL-N17U
    DSL-N55U D1
    DSL-N55U_C1
    4G-AC68U
    RT-AC65U
    RT-AC85U

    10/18/2017 WPA2 通訊協定漏洞的安全公告

    ASUS 已察覺最近的 WPA2 安全性漏洞。 我們非常重視您的安全性及隱私權,目前正致力於盡快推出完善的解決方案。 在此同時,我們想協助釐清潛在威脅的嚴重性,並讓我們的重要客戶瞭解可採取的適當步驟,避免或降低遭到入侵的威脅。

    只有在攻擊者與您的無線網路實際距離相近並可存取網路時,您的裝置才會遭到攻擊。 此攻擊行為無法竊取採用適當端對端加密的安全連線上的銀行資訊、密碼或其他資料。 然而,攻擊者可能經由遭攻擊的 WiFi 網路,在不安全連線上擷取並讀取此資訊。 根據網路設定,攻擊者也可能重新導向網路流量、傳送無效資料至裝置,或甚至將惡意程式碼植入網路。

    我們正積極與晶片組供應商合作,修正此漏洞,不久後就會針對受影響的路由器釋出韌體修正檔。 在此韌體修正檔釋出之前,以下是所有使用者都應遵循的一些注意事項:

    (1) 在路由器和裝置更新之前,請避免使用公共 Wi-Fi 和熱點。 若可能,請使用行動電話通訊網路連線。
    (2) 務必連線至可信賴或經驗證的安全服務。 若網頁採用 HTTPS 或其他安全連線,其 URL 會包含 HTTPS。 若使用 TLS 1.2 保護連線,您在該服務上的活動目前是安全的。
    (3) 確保作業系統和防毒軟體為最新版。 Microsoft 最近已更新 Windows,修正其最新作業系統上的此漏洞, Google 和 Apple 不久後都陸續跟進。
    (4) 如有疑慮,為安全起見,請使用行動電話通訊網路或有線連線(乙太網路)存取網際網路。 此漏洞僅影響 Wi-Fi 路由器與連線至受攻擊 WiFi 的裝置之間的 802.11 流量。

    04/26/2017 釋出下列型號的新韌體: 無線路由器 RT-AC88U/ 無線路由器 RT-AC66U B1
    04/24/2017 釋出下列型號的新韌體: 無線路由器 RT-AC5300/ 無線路由器 RT-AC3100
    04/14/2017 釋出下列型號的新韌體: 無線路由器 RT-AC53
    03/31/2017 釋出下列型號的新韌體: 無線路由器 RT-AC87U/ RT-AC87R/ RT-AC3200/ RT-AC68U/ RT-AC68R/ RT-AC68W/ RT-AC68P/ RT-AC1900P/ RT-AC66U/ RT-AC66R/ RT-AC1750/ RT-AC56U/ RT-AC56R/ RT-N66U/ RT-N66R/ RT-N66W/ RT-AC53U/ RT-AC51U/ RT-AC750/ RT-N300/ RT-N11P/ RT-N12+/ RT-N12+ Pro/ RT-N12E B1/
    03/24/2017 釋出下列型號的新軟體: 無線網卡 PCE-AC56
    12/23/2016 釋出下列型號的新韌體: 無線路由器 RT-AC5300 / RT-AC88U / RT-AC3100 / RT-AC3200 / RT-AC87U / RT-AC87R / RT-AC66U / RT-AC66W / RT-AC1750 / RT-AC55UHP / RT-AC55U / RT-AC52U / RT-N56U / RT-N12 D1
    12/13/2016 釋出下列型號的新韌體: 無線路由器 RT-AC68U / RT-AC68R / RT-AC68W / RT-AC68UF / RT-AC68P / RT-AC1900P / RT-AC1900 / RT-AC66U_B1
    10/29/2016 釋出下列型號的新韌體: 中繼器 RP-N12 / RP-N14 / RP-N53 / RP-AC52/ RP-AC56/ 媒體橋接器 EA-N66/ EA-N66R

    10/17/2016 釋出下列型號的新 ATK 驅動程式: 筆記型電腦 K53SV
    09/10/2016 釋出下列型號的新韌體: 無線路由器 RT-AC66U / RT-AC66R / RT-AC66W / RT-AC1750

    名人堂

    我們要感謝以下人士提供重要資訊。 他們是最早通報漏洞的人,ASUSTek Computer Inc. 將修復這些漏洞。感謝各位展現技術能力、安全性知識和負責任的行為。

    2018 ∇
    2018 年 7 月:
    • Rick Ramgattie
    • Nishant Saurav
    • Mohammed Adel
    • Wai Yan Aung
    • Pethuraj M
    2018 年 6 月:
    • Lawrence Amer
    • Alban Cenaj
    • Wai Yan Aung
    2018 年 5 月:
    • Yeasir Arafat
    • Anil Tom
    • Sara Badran
    2018 年 4 月:
    • Fortinet FortiGuard 實驗室的 Yonghui Han
    • Dmitriy Alekseev
    • Fish Getachew
    • Nathu Nandwani
    • Nicodemo Gawronski 和 Ana Maria Popescu @amiutza
    • Core Security Technologies 的 Diego Juarez 通報 Asus Aura Sync 的權限提升漏洞。
    • Seekurity.com SAS de C.V. 的 Mohamed A. Baset
    2018 年 3 月:
    • Emad Abou Shanab
    • Konduru Jashwanth
    • Nikhil Srivastava
    • Dan Nino I. Fabro.
    • Kunal Bahl
    2018 年 2 月:
    • HaoTian Xiang
    • Niv Levi
    • Chris Wood
    • Vasim Shaikh(印度)
    • Wen Bin Kong
    • Florian Kunushevci
    • Pritesh Mistry
    • Ismail Tasdelen
    2018 年 1 月:
    • Dipak Prajapati
    • Vasim Shaikh(印度)
    • Akaash M. Sharma
    • Kushal Sharma
    • Adesh Nandkishor Kolte
    • Chirag Gupta
    • Osanda Malith Jayathissa (@OsandaMalith)
    • Chacko K Abraham
    • Suvadip Kar
    • Ankit Singh Nikhil Sahoo 和 Ipsita Subhadarshan Sahoo
    • Yassine Nafiai
    • Guy Arazi
    2017 ∇
    2017 年 12 月:
    • Blazej Adamczyk
    • Joaquim Espinhara
    • Beyond Security 的 SecuriTeam Secure Disclosure 計畫
    • Fortinet FortiGuard 實驗室的 David Maciejak
    2017 年 11 月:
    • Ketankumar Godhani
    • Ankit Singh
    • Junaid Farhan
    2017 年 10 月:
    • Daniel Diez
    • Sankalpa Nirmana
    • Vyshnav Vizz
    2017 年 9 月:
    • Samet ?ahin
    • Ranjeet Jaiswal
    2017 年 8 月:
    • Yoko
    • Sreedeep Ck Alavil
    2017 年 4 月:
    • Cool Alfaiz
    • Manav Infosec
    • Mohammad Abdullah
    2017 年 3 月:
    • Cool Alfaiz
    2017 年 1 月:
    • CDL
    2016 ∇
    2016 年 12 月:
    • Kishan Kumar
    2016 年 10 月:
    • Yunus Yildirim
    • Muhammad Hammad
    • Chris
    2016 年 9 月:
    • Steave Afters
    • Jhack