缺陷公开思科小型商务路由器，防火墙到黑客攻击

2021-08-31 17:46:08来源：

来自小型企业RV系列的三种型号的思科无线VPN防火墙和路由器包含了一个关键的未分组漏洞，攻击者可以远程攻击来控制设备。

该漏洞位于Cisco RV110W Wireless-N VPN防火墙的基于Web的管理界面，RV130W Wireless-N多功能VPN路由器和RV215W Wireless-N VPN路由器。

如果受影响的设备是针对远程管理的CONPD，可以很容易地利用，因为攻击者只需要使用自定义用户数据发送未经身份的HTTP请求。这将导致远程代码执行作为root，系统上的最高特权帐户，并且可以导致完全妥协。

思科系统警告周三安全咨询中的漏洞，但尚无补丁。该公司计划在2016年第三季度发布将在受影响的模型上解决此缺陷的固件更新。

更糟糕的是，这不是这三个思科设备中存在的唯一不封闭的漏洞。该公司还警告了中等严重程度，跨站点脚本（XSS）缺陷和两个中等风险缓冲区溢出，可能导致拒绝服务条件。

虽然利用缓冲区溢出需要攻击者在设备的基于Web的界面中具有经过身份验证的会话，但可以通过欺骗经过身份验证的用户来单击专门制作的URL来触发XSS漏洞。

“成功的利用可以允许攻击者在设备的基于Web的管理界面的上下文中执行任意脚本，或者允许攻击者访问基于敏感的浏览器的信息，”思科在咨询中表示。

XSS漏洞使用户难以在没有补丁的情况下找到缓解策略，因为它可以与其他漏洞结合起来。例如，如果用户在其设备中禁用外部管理以保护它们免受关键漏洞，则设备仍将通过跨站点脚本缺陷公开。

版权及免责声明：凡本网所属版权作品，转载时须获得授权并注明来源“科技金融网”，违者本网将保留追究其相关法律责任的权力。凡转载文章，不代表本网观点和立场，如有侵权，请联系我们删除。