华硕（ASUS）已发布了一项固件更新，以修复一个严重程度极高的漏洞 ——CVE-2025-2492，其通用漏洞评分系统（CVSSv4）评分为 9.2。该漏洞影响了华硕的多个启用了 AiCloud 功能的路由器固件系列，可能会让攻击者远程执行未经授权的功能。

AiCloud 是许多华硕路由器中的一项功能，它支持基于云端的远程访问，基本上能将这些路由器变成个人云服务器。

CVE-2025-2492 于 2025 年 2 月被披露，被归类为身份验证控制不当漏洞。根据相关公告，该问题存在于特定版本的华硕路由器固件中，并且可能会 “被精心构造的请求触发，从而有可能导致未经授权地执行功能”。这意味着远程攻击者可以利用该漏洞绕过身份验证，访问路由器的敏感功能，进而危及网络以及与之连接的设备的安全。

以下固件系列受到影响：
(1)3.0.0.4_382
(2)3.0.0.4_386
(3)3.0.0.4_388
(4)3.0.0.6_102

华硕已在 2025 年 2 月之后发布的固件更新中修复了该漏洞。用户可以从华硕支持页面或特定的网络产品页面获取最新的固件。

华硕敦促所有用户立即更新其路由器的固件。在公告中，他们强调：“我们建议您定期检查您的设备和安全程序，这样会让您更加安全。”

此外，用户还应采取以下措施：

1.更新固件：始终使用从华硕官方网站获取的最新固件。

2.强化密码：为您的无线网络和路由器管理页面设置不同的、复杂的密码。华硕建议：“密码至少包含 10 个字符，并且混合使用大写字母、数字和符号。不要使用包含连续数字或字母的密码。”

3.禁用高风险服务：如果您无法迅速进行更新，或者正在使用已停产的路由器，华硕建议禁用以下服务：

(1)AiCloud

(2)广域网（WAN）的远程访问

(3)端口转发、动态域名服务（DDNS）、虚拟专用网络（VPN）服务器、非军事区（DMZ）、文件传输协议（FTP）以及端口触发

华硕警告称：“如果您无法迅速更新固件,建议您禁用任何可以从互联网访问的服务。”