【安全通报】Cisco 多款 Small Business 路由器远程代码执...

Image

近日,Cisco 发布安全通告,修复了多款小型企业路由器的多个漏洞。Cisco Small Business RV110W、RV130、RV130W和RV215W路由器基于web的管理界面中存在漏洞,使得未经验证的远程攻击者能够执行任意代码或导致受影响的设备意外重启,从而导致拒绝服务(DoS)情况。建议广大用户及早升级至最新安全版本。

漏洞描述

该漏洞是由于传入HTTP数据包的用户输入验证不足造成的,攻击者可以通过向基于web的管理界面发送精心编制的请求来攻击此漏洞。成功利用此漏洞可使攻击者使用根级别权限在受影响的设备上执行任意命令。

该漏洞CVSS评分:9.8,危害等级:严重

CVE 编号

CVE-2022-20825

FOFA 查询

app="CISCO-RV110W" || app="CISCO-RV130W" || app="CISCO-RV130" || app="CISCO-RV215W"

影响范围

  • RV110W Wireless-N VPN Firewall
  • RV130 VPN Router
  • RV130W Wireless-N Multifunction VPN Router
  • RV215W Wireless-N VPN Router

根据目前FOFA系统最新数据(一年内数据),显示全球范围内(app="CISCO-RV110W" || app="CISCO-RV130W" || app="CISCO-RV130" || app="CISCO-RV215W")共有 143 个相关服务对外开放。美国使用数量最多,共有 47 个;加拿大第二,共有 28 个;法国第三,共有 10 个;罗马尼亚第四,共有 8 个;巴西第五,共有 7 个。

全球范围内分布情况如下(仅为分布情况,非漏洞影响情况)

123.png

修复建议

Cisco尚未发布也不会发布软件更新来解决本咨询中描述的漏洞。Cisco小型企业RV110W、RV130、RV130W和RV215W路由器已停止服务。建议客户迁移到Cisco Small Business RV132W、RV160或RV160W路由器。

缓解措施:

这些设备的web管理界面可通过无法禁用的本地LAN连接使用,如果启用了远程管理功能,则可通过WAN连接使用。默认情况下,请在这些设备上禁用远程管理功能。

要确定设备上是否启用了远程管理功能,请打开基于web的管理界面,然后选择“基本设置”>“远程管理”。如果启用复选框为勾选状态,即在设备上启用了远程管理,则可能存在该漏洞。

参考

[1] https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sb-rv-overflow-s2r82P9v

白帽汇安全研究院从事信息安全,专注于安全大数据、企业威胁情报。

公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。

查看原文