思科近日針對小型企業VPN路由器產品發布安全公告,警告有引發遠端程式碼執行的重大漏洞。但是思科也表示這些產品已經來到EOL(end of life),因此思科並不打算修補,企業應考慮升級到新產品。

最新漏洞CVE-2021-34730出在小型企業路由器產品的UPnP服務元件,對外部送入的UPnP流量驗證不當所致。攻擊者可以藉由傳送惡意UPnP呼叫來開採,一旦成功可讓攻擊者在以根權限在受害裝置的底層OS執行任意程式碼,或是引發裝置不預期重開機而導致阻斷服務(Denial of Service,DoS)情形。

受影響的裝置包括RV110W、RV130、RV130W和RV215W。啟動UPnP者可能曝險。其中,UPnP在LAN的管理介面上預設開啟,但在WAN管理介面上預設為關閉。若LAN及WAN上都安裝了這些裝置,且管理介面都使用預設值的話,仍然會有被攻擊的風險。因此這項漏洞風險值達到CVSS 3.0的9.8,屬於接近滿分的重大漏洞。

不過思科表示不會釋出軟體更新來修補漏洞,因為這4款產品都已經來到產品生命周期終點(EoL),即思科不再支援。思科也建議用戶升級到RV132W、RV160或RV160W系列路由器。

熱門新聞

Advertisement