今年1月份，Rapid7研究人员曾在思科RV320和RV325两种型号路由器中发现了一个名为CVE-2019-1653的漏洞，该漏洞将允许未经身份验证的远程攻击者检索其保存的全部敏感信息。随后，思科针对企业级路由器RV320和RV325发出安全更新，以修补产品上的信息泄漏以及远程攻击漏洞，并针对此次漏洞造成的影响发布了相关报告。 

然而近日Bad Packets在推特指出，该修复补丁，仅是将资料传输工具curl设为黑名单，避免有漏洞的路由器被黑客发现，而非从根本修复路由器存在的漏洞。黑客依然可以不经过网页授权，对路由器进行命令注射、输出配置以及撷取诊断数据。

据统计，目前仍有6,247台RV320路由器以及3,410台RV325路由器存在漏洞，总共约有1万台装置暴露于风险之中（6247台RV320和3410台RV325），其中大多数都位于美国。

思科表示，迄今为止尚未找到成功的修复或解决方法。

这两个漏洞都存在于RV320或RV325路由器使用的基于Web的管理界面中，且都可以远程利用。它允许未经身份验证的远程攻击者检索其保存的全部敏感信息。其中有一个特定的URL导航恰好包含了设备的整个配置，一旦被突破攻击者将无需身份验证获取到路由器用户的用户名、登录密码、配置信息以及各种关键信息。更糟糕的是，在默认情况下启用了漏洞的路由器界面可以访问公共Internet服务器。

①CVE-2019-1652-该漏洞允许通过身份验证的远程攻击者以管理员权限在受该漏洞影响的路由器上执行任意命令；

②CVE-2019-1653-该漏洞允许攻击者无需通过任何身份验证就能够访问受该漏洞影响路由器的基于Web的管理平台，允许攻击者检索敏感信息，如路由器的配置文件（其中包含凭证MD5散列值和诊断信息）。

David Davidson通过GitHub网站发布的概念验证攻击代码首先能够利用CVE-2019-1653从路由器检索配置文件以获取凭证MD5散列值，然后利用CVE-2019-1652执行任意命令并完全控制受漏洞影响的路由器。

思科在其网站更新漏洞说明，表示当初的修复并不完整，目前他们正在积极的修补这个漏洞，当修复程序代码完成将会释出更新，目前没有任何方法可以修补这个漏洞。

网络安全专家GrahamCluley称目前没有可用的补丁，甚至无法建议解决方案。因此，网络犯罪分子有可能试图利用思科的漏洞本身的严重程度很高。

思科表示，它旨在通过更新的固件版本来修复运行固件版本1.4.2.15及更高版本的路由器中存在的漏洞，预计将于2019年4月中旬发布。

各类中小企业为了防止自己成为此类攻击目标的最佳方案是尽快安装最新发布的固件版本。如果因为某些特殊情况导致无法及时安装固件，建议各位网络管理员至少应该更改路由器的默认管理员账户和密码，以及WiFi证书。

参考来源：

雷锋网
黑客视界

安全内参

公众号ID：ikanxue

官方微博：看雪安全

商务合作：wsc@kanxue.com