圖片來源: 

思科

思科發佈安全更新公告,修補位於數款VPN路由器產品內的一項重大遠端程式碼執行(remote code execution,RCE)漏洞。

思科指出,RV110W Wireless-N VPN Firewall、RV130W Wireless-N Multifunction VPN Router及 RV215W Wireless-N VPN Router的網頁管理介面內含代號CVE-2019-1663的漏洞,由於無法對用戶在介面上輸入的資料進行適當驗證,讓攻擊者得以傳送惡意HTTP呼叫以駭入目標裝置。成功的攻擊可讓駭客以管理員權限在底層作業系統執行任意程式碼。該漏洞CVSS 3.0 base core被列為9.8分,屬於重大風險等級。

在受影響的產品中,RV110W防火牆有瑕疵的軟體為1.2.2.1版本以前版本,RV130W為1.0.3.45,在RV215W產品則為1.3.1.1。所幸這三款路由器的網頁管理介面皆預設關閉遠端連線,除非有自行開啟或客製化組態,否則唯有實際插上LAN網路線才能進行管理。

思科表示這項漏洞並無其他權宜性的解決方法,呼籲用戶應儘速安全更新軟體。管理員可在路由器網頁管理介面中,循Basic Settings > Remote Management檢查是否有開啟遠端管理的設定。


Advertisement

更多 iThome相關內容