舊款路由器曝認證繞過0day漏洞,思科稱已停售不予修復
責編:gltian |2022-09-09 13:32:08思科表示,由于多款小企業VPN路由器已達生命周期,因此不會修復其中的一個新的認證繞過漏洞 (CVE-2022-20923)。
該漏洞是由一個密碼驗證不當的算法引發的。如果啟用了IPSec VPN服務器特性,則攻擊者可使用“構造憑據”利用該漏洞登錄到易受攻擊設備上的VPN。思科在本周三發布的安全公告中指出,“成功利用可導致攻擊者繞過認證并訪問 IPSec VPN網絡。攻擊者可能獲取管理員用戶權限,具體取決于使用的構造憑據。”
用戶如需判斷路由器上是否啟用了IPSec VPN Server,則可登錄web管理接口,到 VPN > IPSec VPN Server > Setup處查看。如“服務器啟用”框已勾選,則設備被暴露到CVE-2022-20923利用嘗試下。
好在,思科表示產品安全事件響應團隊并未發現該0day已遭在野利用的證據。
更新路由器
思科要求仍然使用RV110W、RV130、RV130W和RV215W路由器的用戶更新至更新版本。
從思科網站上發布的終止使用公告來看,上述RV系列路由器停止發售日期是2019年12月。思科指出,“思科已不發布或者將不會發布軟件更新來解決公告中描述的漏洞。客戶應遷移至思科小企業RV132W、RV160或RV160W路由器。”
CVE-2022-20923并非首個影響已達生命周期路由器且思科不修復的漏洞。
例如,2021年8月,思科表示不會修復RV系列路由器中的嚴重漏洞(CVE-2021-34730)。該漏洞可導致未認證攻擊者以root用戶身份遠程執行任意代碼,要求用戶遷移至更新版本。
2022年6月,思科表示不會修復RCE漏洞(CVE-2022-20825),建議用戶升級至更新版本。
原文鏈接
https://www.bleepingcomputer.com/news/security/cisco-won-t-fix-authentication-bypass-zero-day-in-eol-routers/
來源:代碼衛士