ASUS lançou um patch para uma vulnerabilidade crítica-severidade, rastreada como CVE-2025-2492afetando certos roteadores com o AICLoud ativado. Essa falha, classificada em 9.2/10, permite que os atores de ameaças executem funções em dispositivos expostos remotamente e sem autorização por meio de uma solicitação personalizada.
O Aicloud é um recurso integrado a muitos roteadores ASUS, transformando a rede doméstica em um servidor de nuvem pessoal. Os usuários podem acessar, transmitir, sincronizar e compartilhar arquivos armazenados em unidades USB conectadas ao roteador de qualquer lugar com uma conexão com a Internet. A vulnerabilidade foi encontrada nas versões de firmware divulgadas após fevereiro de 2025, especificamente 3.0.0.4_382, 3.0.0.4_386, 3.0.0.4_388 e 3.0.0.6_102.
A falha afeta os dispositivos que ainda são suportados e os usuários podem baixar as atualizações de firmware necessárias diretamente no site da ASUS. Para dispositivos que atingiram o final da vida, a ASUS aconselha os usuários a desativar o AICLoud completamente. Além disso, os usuários devem desativar o acesso à Internet para WAN, bem como serviços de encaminhamento de porta, DDNs, servidor VPN, DMZ, acionamento por porta e FTP para proteger seus dispositivos.
Para proteger ainda mais seus roteadores, a ASUS recomenda usar senhas exclusivas e fortes para redes sem fio e páginas de administração do roteador. Isso inclui fazer senhas de pelo menos 10 caracteres e garantir que sejam uma mistura de letras minúsculas e maiúsculas, números e símbolos especiais. Embora não haja evidências de que a falha esteja sendo explorada ativamente, a classificação crítica do CVSS implica que a exploração pode ter um impacto significativo.
2 maneiras inteligentes de redimensionar o texto em copilot para o Windows 11
No momento da publicação, a vulnerabilidade não estava listada no catálogo de vulnerabilidades exploradas (KEV) da CISA, que geralmente é um indicador de exploração ativa. Os usuários são aconselhados a aplicar o patch prontamente para evitar acesso não autorizado a seus dispositivos.
