思科决定将不修复路由器中的这70多个漏洞

虽然思科 Small Business RV110W、RV130、RV130W 和 RV215W 路由器中共发现了68个漏洞，但思科表示由于这些设备已到达生命周期，因此将不会发布补丁。软件维护发布和漏洞修复的最后一天是在2020年12月1日。

这些安全漏洞存在的原因在于，未正确验证用户向受影响的路由器系列的基于 Web 管理接口提供的输入，因此可导致攻击者发送特殊构造的 HTTP 请求，实施利用。

成功利用这些漏洞的攻击者能够以底层操作系统上的 root 权限执行任意代码，不过好在存在一个缓解因素即利用要求具有有效的管理员凭据。

思科发布安全公告，解释称攻击者还可滥用这63个漏洞重启受影响设备，实现拒绝服务条件。思科指出可通过 LAN 或 WAN 连接访问这些设备上的 Web 管理接口，前提是启用了该远程管理，不过在默认情况下是禁用的。

思科指出，“思科并未发布且将不会发布上述漏洞的软件更新。思科 Small Business RV110W、RV130、RV130W 和 RV215W 路由器均已进入生命周期进程。建议客户关注这些产品的生命周期通知。”

其它8个尚未修复的缺陷为中危级别，可被经验证的远程攻击者用于发动 XSS 攻击或访问敏感的、基于浏览器的信息。

思科指出，目前不存在缓解措施，不过也尚未发现针对这些漏洞的公开利用。

本周，思科为数十个漏洞发布补丁，其中包括位于企业软件解决方案中的两个高危漏洞。其中最重要的是高危漏洞 CVE-2021-1144（CVSS 评分8.8），它位于 Connected Mobile Experiences (CMX) 中，可被经认证的攻击者滥用于修改系统上任意用户账户的密码，包括管理员账户在内。

该漏洞存在的原因在于未正确地处理对密码修改的授权检查，使得攻击者在即使不具备管理员权限的情况下也实施利用。攻击者可通过向易受设备发送经修改的 HTTP 请求的方式滥用该漏洞。

另外一个高危漏洞位于 AnyConnect Secure Mobility Client for Windows 中，影响该端点解决方案的 Network Access Manager 和 Web Security Agent 组件。

该漏洞的编号为 CVE-2021-1237（CVSS 评分为7.8），可被经认证的本地攻击者劫持 DLL。该漏洞存在的原因在于未充分验证应用程序在运行时加载的资源。

思科解释称，“攻击者可通过在系统某个具体路径中插入一个配置文件的方式利用该漏洞，从而在当应用程序启用时加载恶意 DLL 文件。成功的 exploit 可导致攻击者以系统权限在受影响机器上执行任意代码。”

思科已发布软件更新，解决上述两个漏洞，并表示并未发现相关的公开exploit。

思科还发布了其它18个安全公告，说明了位于如下产品中的中危漏洞：Webex、ASR 5000 路由器、Proximity Desktop for Windows、Enterprise NFV Infrastructure Software (NFVIS)、Finesse、Video Surveillance 8000 IP Cameras、 Firepower Management Center (FMC)、DNA Center、Unified Communications 产品、CMX API 授权和 AnyConnect Secure Mobility Client。

和 Snort 检测引擎相关的三个中危漏洞影响大量思科产品，包括 Integrated Services Routers (ISRs)、Cloud Services Router 1000V、Firepower Threat Defense (FTD)、Integrated Services Virtual Router (ISRv) 以及多个 Meraki 产品系列。

相关漏洞详情可见：

https://tools.cisco.com/security/center/publicationListing.x?product=Cisco&sort=-day_sir&limit=50#~Vulnerabilities