1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. ASUS製ルーターに重大な認証回避の脆弱性(CVE-2025-2492)

ASUS製ルーターに重大な認証回避の脆弱性(CVE-2025-2492)

セキュリティニュース

投稿日時: 更新日時:

ASUS製ルーターに重大な認証回避の脆弱性(CVE-2025-2492)

2025年4月、ASUSは自社ルーターに搭載されているAiCloud機能に、リモートから不正操作が可能となる重大な認証バイパスの脆弱性(CVE-2025-2492)が存在すると発表しました。この脆弱性はCVSS v4スコアで9.2(クリティカル)と評価されており、対象のルーターを利用している場合は、速やかな対応が必要です。

対象ファームウェアと対応策

ASUSはすでに複数のファームウェアバージョンに対して修正パッチを公開しています。対象となるファームウェアは以下の通りです

  • 3.0.0.4_382系

  • 3.0.0.4_386系

  • 3.0.0.4_388系

  • 3.0.0.6_102系

脆弱性の概要

AiCloud機能を有効にしているASUS製ルーターで特殊に細工されたリクエストによって、認証なしにルーター上の機能を不正に実行できるというものです。
つまり、外部の攻撃者がパスワードや認証なしに、ルーターの機能を操作できる可能性があります。

AiCloudとは?

AiCloudはASUSルーターに組み込まれているクラウドアクセス機能で、自宅のUSBストレージやメディアファイルを、外出先からインターネット経由で操作・共有できる便利なサービスです。主な機能は以下の通りです:

  • USB接続ストレージへのリモートアクセス

  • メディアのストリーミング再生

  • クラウドストレージとの同期

  • ファイルリンクの共有

しかしこの便利な機能が、攻撃者にとっての侵入口となってしまう可能性があるため、注意が必要です。

関連記事

パロアルト ネットワークスの重大な脆弱性がサイバー攻撃に悪用されるとCISAが警告パロアルト ネットワークスの重大な脆弱性がサイバー攻撃に悪用されるとCISAが警告 OpenVPNでクリティカルな脆弱性(CVE-2025-2704) –tls-crypt-v2環境でサーバークラッシュのリスクOpenVPNでクリティカルな脆弱性(CVE-2025-2704) –tls-crypt-v2環境でサーバークラッシュのリスク Default ThumbnailVMwareのvCenterで重大な脆弱性のパッチがリリース 今すぐ適用を(CVE-2024-37079、CVE-2024-37080、CVE-2024-37081) Perlに重大な脆弱性、DoS攻撃やリモートコード実行の可能性 対象者はアップデートを(CVE-2024-56406)Perlに重大な脆弱性、DoS攻撃やリモートコード実行の可能性 対象者はアップデートを(CVE-2024-56406) Apache Parquetで重大な脆弱性、対象者はアップデートを(CVE-2025-30065)Apache Parquetで重大な脆弱性、対象者はアップデートを(CVE-2025-30065) ファイル圧縮・解凍ソフト WinRARでMark of the Webをバイパスする脆弱性(CVE-2025-31334)ファイル圧縮・解凍ソフト WinRARでMark of the Webをバイパスする脆弱性(CVE-2025-31334) 100万以上ダウンロードされている、Node.jsライブラリ「xml-crypto」に深刻な脆弱性(CVE-2025-29774, CVE-2025-29775)100万以上ダウンロードされている、Node.jsライブラリ「xml-crypto」に深刻な脆弱性(CVE-2025-29774, CVE-2025-29775) JenkinsのDockerイメージにSSHホストキー再利用の脆弱性(CVE-2025-32754,CVE-2025-32755)JenkinsのDockerイメージにSSHホストキー再利用の脆弱性(CVE-2025-32754,CVE-2025-32755) Windows Hyper-Vの脆弱性が発覚、PoCも公開(CVE-2025-21333)Windows Hyper-Vの脆弱性が発覚、PoCも公開(CVE-2025-21333)