圖片來源: 

圖片來源/Jr Korpa on Unsplash

思科中小企業產品線RV016、RV042、RV042G和RV082路由器上的網頁管理介面存在嚴重漏洞,使得遠端攻擊者可以繞過身分驗證,並在底層作業系統上執行任意命令。但由於這些路由器生命周期已結束,思科表示不會發布新軟體解決這些路由器上的漏洞。

思科這些RV系列中小企業路由器的所有軟體版本,皆受到CVE-2023-20025、CVE-2023-20026兩漏洞的影響,這兩個漏洞不互相依賴,要利用其中一個漏洞不需要另外一個漏洞,而存在其中一個漏洞的軟體版本,可能不受另一個漏洞影響。

CVE-2023-20025是RV016、RV042、RV042G和RV082路由器上,網頁管理介面的漏洞,可讓未經身分驗證的遠端攻擊者,繞過裝置上的身分驗證。造成該漏洞的原因是系統未適當地對使用者輸入進行驗證,攻擊者可以透過網頁管理介面,發送經過設計的HTTP請求利用該漏洞,以成功繞過身分驗證獲得底層作業系統的根存取權限。

另外CVE-2023-20026則是一個路由器遠端命令執行漏洞,該漏洞同樣發生在網頁管理介面,可允許經過身分驗證的遠端攻擊者,在受影響的裝置上執行任意命令。由於系統對傳輸HTTP封包中的用戶輸入驗證不當,因此可能允許攻擊者獲得根權限,並且存取未經授權的資料,但攻擊者要利用該漏洞,需要先獲得裝置上有效的管理憑證。

官方提到,他們沒有也不會發布解決該漏洞的軟體(因為已過產品生命週期),而目前沒有解決這個漏洞的變通方法,管理員只能停用遠端管理,並且封鎖對連接埠口443和60443的存取來緩解漏洞,實行這些緩解措施後,管理員仍然可以透過LAN介面存取路由器。

熱門新聞

Advertisement