美国公司 Cisco 表示不会修复其路由器中的零日漏洞 CVE-2022-20923 (cisco-sa-sb-rv-vpnbypass-Cpheup9O),该漏洞允许您绕过授权并获得对 IPSec VPN 的访问权限网络。此决定是因为该问题会影响支持期已结束的路由器。
根据现有数据,我们正在谈论用于小型企业的 VPN 路由器 RV110W、RV130、RV130W 和 RV215W,其生命周期在 2019 年结束。至于漏洞本身,则与密码验证算法错误有关。该漏洞允许攻击者使用专门准备的凭据连接到 VPN 网络,但前提是在路由器上激活了 IPSec VPN 服务器。
图片:思科
“成功利用该漏洞可能允许攻击者绕过身份验证并获得对 IPSec VPN 的访问权限。攻击者可以获得与管理员相同级别的权限,具体取决于使用的特制凭据,”思科在一份声明中说。
制造商不仅确认了问题的存在,还表示不打算发布补丁来修复上述漏洞。建议继续使用旧路由器型号的用户购买更新的设备,这些设备会继续接收安全更新。该公司还指出,目前没有迹象表明攻击者正在实际使用CVE-2022-20923漏洞。
但这并不是旧 Cisco 产品中唯一一个由于终止支持而未被制造商修复的严重漏洞。例如,2021 年 8 月,该公司宣布不打算修复上述路由器中的关键漏洞CVE-2021-34730 ,利用该漏洞可能允许以管理员权限远程执行代码。今年 6 月,在同一设备中发现了一个类似的严重漏洞CVE-2022-20825 。在所有情况下,思科建议购买更新的设备。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 思科拒绝修复旧RV系列路由器中的另一个严重漏洞,并建议购买现代设备
