思科决定不修复已达生命周期路由器中的认证绕过0day
编译:代码卫士
思科表示,由于多款小企业VPN路由器已达生命周期,因此不会修复其中的一个新的认证绕过漏洞 (CVE-2022-20923)。
该漏洞是由一个密码验证不当的算法引发的。如果启用了IPSec VPN服务器特性,则攻击者可使用“构造凭据”利用该漏洞登录到易受攻击设备上的VPN。思科在本周三发布的安全公告中指出,“成功利用可导致攻击者绕过认证并访问 IPSec VPN网络。攻击者可能获取管理员用户权限,具体取决于使用的构造凭据。”
用户如需判断路由器上是否启用了IPSec VPN Server,则可登录web管理接口,到 VPN > IPSec VPN Server > Setup处查看。如“服务器启用”框已勾选,则设备被暴露到CVE-2022-20923利用尝试下。
好在,思科表示产品安全事件响应团队并未发现该0day已遭在野利用的证据。
思科要求仍然使用RV110W、RV130、RV130W和RV215W路由器的用户更新至更新版本。
从思科网站上发布的终止使用公告来看,上述RV系列路由器停止发售日期是2019年12月。思科指出,“思科已不发布或者将不会发布软件更新来解决公告中描述的漏洞。客户应迁移至思科小企业RV132W、RV160或RV160W路由器。”
CVE-2022-20923并非首个影响已达生命周期路由器且思科不修复的漏洞。
例如,2021年8月,思科表示不会修复RV系列路由器中的严重漏洞(CVE-2021-34730)。该漏洞可导致未认证攻击者以root用户身份远程执行任意代码,要求用户迁移至更新版本。
2022年6月,思科表示不会修复RCE漏洞(CVE-2022-20825),建议用户升级至更新版本。
思科路由器高危漏洞可导致攻击者完全访问小企业网络
思科修复VPN路由器中多个严重的RCE漏洞
思科修复企业通信解决方案中的严重漏洞
https://www.bleepingcomputer.com/news/security/cisco-won-t-fix-authentication-bypass-zero-day-in-eol-routers/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。