資安業者Forescout指出，他們在居易科技（DrayTek）路由器找到14個漏洞，有2個為重大層級，其中1個CVSS風險評分達到滿分（10分），值得留意的是，這些漏洞存在於24款機種，但其中有11款生命週期已經結束（EOL）。他們在全球168個國家當中，看到有70.4萬臺路由器曝險，其中有超過半數位於歐洲（42.5萬臺）最多，亞洲有超過19萬臺居次。

對此，居易在本日發布資安公告，表示他們於6月20日得知此事，這些漏洞被登記為CVE-2024-41583至CVE-2024-41596，他們已為受影響的設備提供新版韌體，呼籲用戶應儘速升級。此外，他們也建議採用最佳實務措施，包括停用遠端存取的管道、使用存取控制名單（ACL）、啟用雙因素驗證（2FA）等措施。

若是IT人員無法及時套用新版韌體，應一併停用管理員遠端存取，以及SSL VPN功能。我們也洽詢居易，想確認此項弱點目前處理狀態，該公司表示他們在8月釋出修補，臺灣現行銷售的機種皆完成修補。

關於這些漏洞危險性與存在的原因細節，Forescout研究人員指出，其中最嚴重的是CVE-2024-41592，發生的原因在於網頁介面的GetCGI()功能函數，查詢字串參數的過程有瑕疵，而能導致記憶體緩衝區溢位，攻擊者有機會遠端執行任意程式碼（RCE），或是發動阻斷服務攻擊（DoS），CVSS風險達到10分。

另一個被列為重大層級的是CVE-2024-41585，此漏洞可被攻擊者用於作業系統層級的命令執行，以及虛擬機器（VM）逃逸，起因是主機作業系統與用戶端作業系統之間用來溝通的元件recvCmd造成，CVSS風險評分為9.1。

值得留意的是，這些曝險的路由器產品當中，有多達11款機型的產品生命週期已經結束，不過，Forescout研究人員認為，居易雖然破例發布新版韌體，但僅修補嚴重等級較高的CVE-2024-41592。