零日漏洞(跟踪为 CVE-2021-34730 ,严重性评分为 9.8/10 )是由对传入 UPnP 流量的验证不当引起的,由 IoT Inspector 研究实验室的 Quentin Kaiser 报告。
未经身份验证的攻击者可以利用它来重新启动易受攻击的设备或作为底层操作系统上的 root 用户远程执行任意代码。
“思科尚未发布也不会发布软件更新来解决此公告中描述的漏洞”该公司表示。
“思科小型企业 RV110W、RV130W 和 rv215W 路由器已进入报废流程”
根据思科网站上的公告,这些RV系列路由器可订购的最后一天是2019 年12 月2 日。
该公司要求仍在使用这些路由器型号的客户迁移到仍接收安全更新的更新的 Cisco Small Business RV132W 、RV160 或 RV160W 路由器。
此外,思科表示,其产品安全事件响应团队(PSIRT)不知道此零日漏洞的任何公开概念验证漏洞或任何在野外利用该漏洞的威胁行为者。
NO.1
可用的缓解措施
仅 UPnP 服务开启时,该错误才会影响RV110W、RV130、RV130W 和 RV215W 路由器型号。
根据 Cisco 的说法, UPnP 仅在 LAN(局域网)接口上的这些设备默认启用,而在所有 WAN(广域网)接口上默认禁用。
如果在 LAN 和 WAN 接口上都禁用了该服务,则受影响的路由器模型不被视为易受攻击。
虽然思科不打算发布安全更新来解决这一严重漏洞,但管理员可以通过基于 Web 的管理界面禁用所有受影响路由器上的 UPnP 服务来消除攻击向量以阻止攻击。
“要确定设备的 LAN 接口上是否启用了 UPnP 功能,请打开基于 Web 的管理界面并导航到基本设置 > UPnP ,”思科补充道。“如果未选中禁用复选框,则在设备上启用了 UPnP。”
NO.2
零日等待补丁
该公司还在首次披露六个月后发布了针对 Cisco AnyConnect 安全移动客户端 VPN 软件中另一个零日漏洞 (CVE-2020-3556) 的补丁 ,尽管它知道公开可用的概念验证漏洞利用代码。
尽管思科没有分享延迟背后的原因,但修复可能不是优先事项,因为没有证据表明存在滥用行为,而且默认配置不易受到攻击。
虽然威胁行为者没有利用这两个漏洞,但在 Twitter 上发布 PoC 漏洞 后,他们立即发现了 Cisco ASA 漏洞( 2020 年10 月部分修补, 2021 年4 月完全解决) 。
注:文章来源于网络。
如有侵权,请于后台联系,做删除处理,感谢您的支持。
