查看原文
其他

思科决定不修复已达生命周期路由器中的认证绕过0day

Sergiu Gatlan 代码卫士 2022-12-03

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士


思科表示,由于多款小企业VPN路由器已达生命周期,因此不会修复其中的一个新的认证绕过漏洞 (CVE-2022-20923)。


该漏洞是由一个密码验证不当的算法引发的。如果启用了IPSec VPN服务器特性,则攻击者可使用“构造凭据”利用该漏洞登录到易受攻击设备上的VPN。思科在本周三发布的安全公告中指出,“成功利用可导致攻击者绕过认证并访问 IPSec VPN网络。攻击者可能获取管理员用户权限,具体取决于使用的构造凭据。”

用户如需判断路由器上是否启用了IPSec VPN Server,则可登录web管理接口,到 VPN > IPSec VPN Server > Setup处查看。如“服务器启用”框已勾选,则设备被暴露到CVE-2022-20923利用尝试下。

好在,思科表示产品安全事件响应团队并未发现该0day已遭在野利用的证据。


更新路由器


思科要求仍然使用RV110W、RV130、RV130W和RV215W路由器的用户更新至更新版本。

从思科网站上发布的终止使用公告来看,上述RV系列路由器停止发售日期是2019年12月。思科指出,“思科已不发布或者将不会发布软件更新来解决公告中描述的漏洞。客户应迁移至思科小企业RV132W、RV160或RV160W路由器。”

CVE-2022-20923并非首个影响已达生命周期路由器且思科不修复的漏洞。

例如,2021年8月,思科表示不会修复RV系列路由器中的严重漏洞(CVE-2021-34730)。该漏洞可导致未认证攻击者以root用户身份远程执行任意代码,要求用户迁移至更新版本。

2022年6月,思科表示不会修复RCE漏洞(CVE-2022-20825),建议用户升级至更新版本。



代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com









推荐阅读
思科ASA防火墙中存在多个漏洞,可被用于供应链攻击
思科路由器高危漏洞可导致攻击者完全访问小企业网络
思科修复VPN路由器中多个严重的RCE漏洞
思科修复企业通信解决方案中的严重漏洞



原文链接

https://www.bleepingcomputer.com/news/security/cisco-won-t-fix-authentication-bypass-zero-day-in-eol-routers/


题图:Pixabay License‍



本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存