Des routeurs Asus « populaires » sont victimes de failles de sécurité critiques

Asus doit faire face à plusieurs failles de sécurité affectant certains de ses routeurs « populaires ». Des correctifs (firmware) sont annoncés.

Plusieurs routeurs Asus sont victimes de failles de sécurité dont certaines sont de gravité élevée.  En effet dans plusieurs cas le scores CVSS est de 9,8. CVSS est la contraction de (Common Vulnerability Scoring System). Dans d’autres cas nous avons des vulnérabilités de gravité « élevée » au travers d’un score CVSS de 8,8.

Cette situation a été révélée par le TWCERT et le CC de Taiwan. Au total 8 problèmes de sécurité est mis en avant permettant une injection de commande et une exécution de code à distance (

La liste complète des vulnérabilités est disponible si dessous.

• TVN-202309009 (ASUS RT-AX55, RT-AX56U_V2, RT-AC86U): Format String – 3: CVE-2023-39240
• TVN-202309008 (ASUS RT-AX55, RT-AX56U_V2, RT-AC86U): Format String – 2: CVE-2023-39239
• TVN-202309007 (ASUS RT-AX55, RT-AX56U_V2, RT-AC86U): Format String – 1: CVE-2023-39238
• TVN-202309006 (ASUS RT-AC86U): Command injection vulnerability – 5: CVE-2023-39237
• TVN-202309005 (ASUS RT-AC86U): Command injection vulnerability – 4: CVE-2023-39236
• TVN-202309004 (​​​​​​​ASUS RT-AC86U): Command injection vulnerability – 3: CVE-2023-38033
• TVN-202309003 (​​​​​​​ASUS RT-AC86U – ): Command injection vulnerability – 2: CVE-2023-38032
• TVN-202309002 (ASUS RT-AC86U) : Command injection vulnerability – 1: CVE-2023-38031

Les modèles de routeurs concernés sont les

• Le RT-AC86U (AC2900),
• Le RT-AX56U (AX1800),
• et le RT-AX55 (AX1800),

Selon HKCERT, les versions de firmware suivantes corrigent le problème, bien que leurs notes de version ne le confirment pas :

• RT-AX55 > Mise à jour vers la version 3.0.0.4.386_51948 ou ultérieure
• RT-AX56U_V2 > Mise à jour vers la version 3.0.0.4.386_51948 ou ultérieure
• RT-AC86U > Mise à jour vers la version 3.0.0.4.386_51915 ou ultérieure