思科本周發布二波安全公告及修補程式,以分別修補二個影響VPN產品的安全漏洞,其中包括一個風險層級9.8的重大程式碼執行漏洞。

本次修補漏洞分別是CVE-2021-1609、CVE-2021-1610以及CVE-2021-1602。前兩個皆是出在Small Business VPN產品Dual WAN Gigabit VPN Routers的Web管理介面,對外部傳入的HTTP呼叫驗證不足,傳送惡意呼叫即可開採。其中CVE-2021-1609可讓遠端攻擊者在裝置上,執行惡意程式碼或指令,或是使裝置多次reload而導致阻斷服務(DoS)攻擊,風險高達9.8。CVE-2021-1610則讓經過驗證的遠端攻擊者,以根權限在裝置上執行任意指令,風險層級7.2。

兩個漏洞影響Dual WAN Gigabit VPN Routers RV340、RV340W、RV345和RV345P。思科已針對這些裝置釋出韌體1.0.03.22予以修補。

CVE-2021-1602則是Small Business RV系列路由器Web管理介面上對使用者輸入指令驗證不足,可讓攻擊者傳送改造的惡意指令來開採,成功開採可讓攻擊者以根權限在漏洞裝置上執行任意指令。不過思科表示,只有無參數的指令可被執行。

該漏洞風險層級8.2,影響Cisco Small Business VPN Routers RV160、RV160W、RV260、RV260P及 RV260W。甫釋出的韌體1.0.01.04版可以修補之。

本地LAN連線下,這個Web管理介面預設開放裝置連線。廣域網路(WAN)介面上也可找到以啟用遠端管理功能,所幸在這些裝置上,遠端管理功能是預設關閉,減低了漏洞威脅。思科也表示未發現漏洞被開採的跡象。

不過根據美國、英國及澳洲政府日前發布最常被駭客攻擊的30項漏洞中,多個VPN品牌名列前茅,因此對於VPN裝置的已知漏洞,仍應儘速安裝為宜。


熱門新聞

Advertisement