旧款路由器曝认证绕过0day漏洞,思科称已停售不予修复

思科表示,由于多款小企业VPN路由器已达生命周期,因此不会修复其中的一个新的认证绕过漏洞 (CVE-2022-20923)。

该漏洞是由一个密码验证不当的算法引发的。如果启用了IPSec VPN服务器特性,则攻击者可使用“构造凭据”利用该漏洞登录到易受攻击设备上的VPN。思科在本周三发布的安全公告中指出,“成功利用可导致攻击者绕过认证并访问 IPSec VPN网络。攻击者可能获取管理员用户权限,具体取决于使用的构造凭据。”

用户如需判断路由器上是否启用了IPSec VPN Server,则可登录web管理接口,到 VPN > IPSec VPN Server > Setup处查看。如“服务器启用”框已勾选,则设备被暴露到CVE-2022-20923利用尝试下。

好在,思科表示产品安全事件响应团队并未发现该0day已遭在野利用的证据。

更新路由器

思科要求仍然使用RV110W、RV130、RV130W和RV215W路由器的用户更新至更新版本。

从思科网站上发布的终止使用公告来看,上述RV系列路由器停止发售日期是2019年12月。思科指出,“思科已不发布或者将不会发布软件更新来解决公告中描述的漏洞。客户应迁移至思科小企业RV132W、RV160或RV160W路由器。”

CVE-2022-20923并非首个影响已达生命周期路由器且思科不修复的漏洞。

例如,2021年8月,思科表示不会修复RV系列路由器中的严重漏洞(CVE-2021-34730)。该漏洞可导致未认证攻击者以root用户身份远程执行任意代码,要求用户迁移至更新版本。

2022年6月,思科表示不会修复RCE漏洞(CVE-2022-20825),建议用户升级至更新版本。

原文链接

https://www.bleepingcomputer.com/news/security/cisco-won-t-fix-authentication-bypass-zero-day-in-eol-routers/

来源:代码卫士

上一篇:Web应用安全防护的十大误区

下一篇:亚信安全勒索治理「方舟」正式上线! 勒索体检中心全面开放