资安业者Forescout指出，他们在居易科技（DrayTek）路由器找到14个漏洞，有2个为重大层级，其中1个CVSS风险评分达到满分（10分），值得留意的是，这些漏洞存在于24款机种，但其中有11款生命周期已经结束（EOL）。他们在全球168个国家当中，看到有70.4万台路由器曝险，其中有超过半数位于欧洲（42.5万台）最多，亚洲有超过19万台居次。

对此，居易在本日发布资安公告，表示他们于6月20日得知此事，这些漏洞被登记为CVE-2024-41583至CVE-2024-41596，他们已为受影响的设备提供新版固件，呼吁用户应尽速升级。此外，他们也建议采用最佳实务措施，包括停用远程存取的管道、使用存取控制名单（ACL）、激活双因素验证（2FA）等措施。

若是IT人员无法及时套用新版固件，应一并停用管理员远程存取，以及SSL VPN功能。我们也洽询居易，想确认此项弱点目前处理状态，该公司表示他们在8月发布修补，台湾现行销售的机种皆完成修补。

关于这些漏洞危险性与存在的原因细节，Forescout研究人员指出，其中最严重的是CVE-2024-41592，发生的原因在于网页界面的GetCGI()功能函数，查找字符串参数的过程有瑕疵，而能导致内存缓冲区溢出，攻击者有机会远程运行任意代码（RCE），或是发动阻断服务攻击（DoS），CVSS风险达到10分。

另一个被列为重大层级的是CVE-2024-41585，此漏洞可被攻击者用于操作系统层级的命令运行，以及虚拟机（VM）逃逸，起因是主机操作系统与用户端操作系统之间用来沟通的组件recvCmd造成，CVSS风险评分为9.1。

值得留意的是，这些曝险的路由器产品当中，有多达11款机型的产品生命周期已经结束，不过，Forescout研究人员认为，居易虽然破例发布新版固件，但仅修补严重等级较高的CVE-2024-41592。