思科表示,不会修补影响多个小型企业 VPN 路由器的新身份验证绕过漏洞,因为这些设备已达到使用寿命 (EoL)。
这个零日漏洞 (CVE-2022-20923) 是由错误的密码验证算法引起的,如果启用了 IPSec VPN 服务器功能,攻击者可以利用该算法在易受攻击的设备上使用公司描述的“精心制作的凭据”登录 VPN .
“成功的利用可能允许攻击者绕过身份验证并访问 IPSec VPN 网络,”思科在周三发布的安全公告中解释道。
“攻击者可能会获得与管理用户相同级别的权限,具体取决于使用的精心制作的凭据。”
要确定是否在路由器上启用了 IPSec VPN 服务器,您必须登录基于 Web 的管理界面并转到 VPN > IPSec VPN 服务器 > 设置。
如果选中“启用服务器”复选框,则设备将面临 CVE-2022-20923 漏洞利用尝试。
幸运的是,思科表示其产品安全事件响应团队 (PSIRT) 没有发现任何证据表明该零日漏洞的公开可用的概念验证漏洞或任何威胁行为者在野外利用该漏洞,直到发布公告。
升级到较新的路由器型号以提供保护
思科要求仍在使用受此安全漏洞影响的 RV110W、RV130、RV130W 和 RV215W 路由器的客户升级到仍在接收安全更新的较新型号。
根据思科网站上的终止销售 公告 ,这些 RV 系列路由器可供订购的最后一天是 2019 年 12 月 2 日。
“思科尚未发布也不会发布软件更新来解决本公告中描述的漏洞,”该公司 补充道。
“我们鼓励客户迁移到 Cisco Small Business RV132W、RV160 或 RV160W 路由器。”
CVE-2022-20923 并不是思科近年来未修补的第一个影响这些 EoL 路由器型号的严重安全漏洞。
例如,2021 年 8 月,该公司 表示不会针对 这些 RV 系列路由器中的关键漏洞 (CVE-2021-34730) 发布安全补丁,该漏洞使未经身份验证的攻击者能够以 root 用户身份远程执行任意代码,并要求用户迁移到更新的模型。
2022 年 6 月,思科在披露了一个无法修补 的新的关键远程代码执行 (RCE) 漏洞(CVE-2022-20825)后,再次建议所有者切换到更新的型号 。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 思科不会修复 EoL 路由器中的身份验证绕过零日漏洞
