聚焦源代碼安全,網羅國內外最新資訊!
編譯:代碼衛士
思科表示,由於多款小企業VPN路由器已達生命周期,因此不會修復其中的一個新的認證繞過漏洞 (CVE-2022-20923)。
該漏洞是由一個密碼驗證不當的算法引發的。如果啟用了IPSec VPN服務器特性,則攻擊者可使用「構造憑據」利用該漏洞登錄到易受攻擊設備上的VPN。思科在本周三發布的安全公告中指出,「成功利用可導致攻擊者繞過認證並訪問 IPSec VPN網絡。攻擊者可能獲取管理員用戶權限,具體取決於使用的構造憑據。」
用戶如需判斷路由器上是否啟用了IPSec VPN Server,則可登錄web管理接口,到 VPN > IPSec VPN Server > Setup處查看。如「服務器啟用」框已勾選,則設備被暴露到CVE-2022-20923利用嘗試下。
好在,思科表示產品安全事件響應團隊並未發現該0day已遭在野利用的證據。
思科要求仍然使用RV110W、RV130、RV130W和RV215W路由器的用戶更新至更新版本。
從思科網站上發布的終止使用公告來看,上述RV系列路由器停止發售日期是2019年12月。思科指出,「思科已不發布或者將不會發布軟件更新來解決公告中描述的漏洞。客戶應遷移至思科小企業RV132W、RV160或RV160W路由器。」
CVE-2022-20923並非首個影響已達生命周期路由器且思科不修復的漏洞。
例如,2021年8月,思科表示不會修復RV系列路由器中的嚴重漏洞(CVE-2021-34730)。該漏洞可導致未認證攻擊者以root用戶身份遠程執行任意代碼,要求用戶遷移至更新版本。
2022年6月,思科表示不會修復RCE漏洞(CVE-2022-20825),建議用戶升級至更新版本。
https://www.bleepingcomputer.com/news/security/cisco-won-t-fix-authentication-bypass-zero-day-in-eol-routers/
題圖:Pixabay License
本文由奇安信編譯,不代表奇安信觀點。轉載請註明「轉自奇安信代碼衛士 https://codesafe.qianxin.com」。
奇安信代碼衛士 (codesafe)
國內首個專注於軟件開發安全的產品線。
覺得不錯,就點個「在看」 或 "贊」 吧~
留言列表