VPN路由器存在 RCE 0day，思科不打算修复

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

该0day的CVE编号是CVE-2021-34730，CVSS评分为9.8，是由对进入的 UPnP 流量验证不正确引发的，由 IoT Inspector 研究实验室的研究员 Quentin Kaiser 发现的。

未认证攻击者可利用该漏洞重启易受攻击的设备，或在底层操作系统上以 root 用户身份远程执行任意代码。

思科表示，“思科尚未发布且不再发布软件更新解决本安全公告中说明的漏洞。思科 Small Business RV110W、RV130、RV130W 和 RV215W 路由器已达生命周期。”

思科在网站上表示，RV 系列路由器的最后期限是2019年2月。思科表示仍然使用这些路由器型号的客户迁移至将接受安全更新的新版本Cisco Small Business RV132W、RV160或RV160W。另外，思科表示其产品安全事件响应团队 (PSIRT) 尚未发现该 0day 的 PoC exploit或遭在野利用的迹象。

只有在启用 UPnP 服务的情况下，该 bug 才影响 RV110W、RV130、RV130W和RV215W 路由器机型。

思科表示，在局域网接口运行的设备默认启用 UPnP 服务，而所有在广域网接口运行的设备默认禁用该服务。如果局域网和广域网接口都禁用该服务，则受影响的路由器型号不受影响。

虽然思科并不打算修复该严重漏洞，但管理员可删除该攻击向量以拦截攻击，方法是在web管理界面禁用所有受影响路由器上的 UPnP 服务。

思科公司指出，“判断设备的局域网接口是否启用了 UPnP 功能，需要打开 web 管理接口并导航至基本设置＞UPnP。如未勾选”禁用“框，则表示 UPnP 已启用。”

两周前，思科披露了位于 Adaptive Security Device Manager (ADSM) Launcher 中的另外一个远程代码执行 (RCE) 漏洞，该漏洞为0day，尚未收到安全更新。

在距离首次发布6个月之后，思科还发布补丁，修复了位于 AnyConnect Secure Mobility Client VPN 中的一个0day (CVE-2020-3556)，但实际上当时已出现公开的 PoC 利用代码。

即使思科并未说明延迟修复的理由，但未出现在野滥用的证据且默认配置不受攻击的情况可能使其并未将修复方案置于优先级。

虽然威胁行动者并未利用这两个缺陷，但之前推特发布 PoC exploit 后，他们就利用了 ASA 漏洞（2020年10月部分修复，2021年4月完全修复）。