互聯網上超過 19,000 台報廢的 Cisco VPN 路由器暴露於針對遠程命令執行漏洞利用鏈的攻擊。
通過鏈接上週披露的兩個安全漏洞,威脅參與者可以繞過身份驗證 (CVE-2023-20025) 並在 Cisco Small Business RV016、RV042、RV042G、 和 RV082 路由器。
未經身份驗證的攻擊者可以通過將特製的 HTTP 請求發送到易受攻擊的路由器的基於 Web 的管理界面來遠程利用嚴重嚴重性身份驗證繞過漏洞以獲得根訪問權限。
思科將 CVE-2023-20025 評為嚴重級別,並表示其產品安全事件響應團隊 (PSIRT) 團隊了解在野外可用的概念驗證漏洞利用代碼。
儘管如此,該公司還表示“沒有也不會發布解決此漏洞的軟件更新。”
目前,思科尚未發現任何證據表明該漏洞利用鏈被濫用於攻擊中。
數以千計的路由器易受攻擊
在 BleepingComputer 報告稱這些路由器沒有打補丁並調查了其中有多少路由器可以通過互聯網訪問後,Censys 在網上發現了將近 20,000 台 RV016、RV042、RV042G 和 RV082 Cisco 路由器。
“通過僅查看在“WWW-Authenticate”響應標頭中包含型號的 HTTP 服務或具有匹配的 TLS 組織單位的 HTTPS 服務,Censys 搜索結果顯示大約 20,000 台主機有可能存在漏洞的跡象 對於這次攻擊,”Censys 說。
“在四種易受攻擊的模型中,RV042 佔據主導地位,有超過 12,000 台主機暴露在互聯網上。
“RV082 和 RV042 擁有 3500 台主機,而 RV016 僅落後於 784 台互聯網公開資產。”
雖然他們不會獲得安全更新,並且思科表示“沒有解決這些漏洞的解決方法”,但用戶仍然可以通過禁用基於 Web 的管理界面並阻止對端口 443 的訪問來保護他們的設備免受攻擊 和 60443 以阻止利用嘗試。
為此,請登錄每個易受攻擊的路由器的基於 Web 的管理界面,轉到防火牆 > 常規,然後取消選中遠程管理複選框。 思科還提供了有關阻止訪問端口 443 和 60443 的詳細說明。
實施上述緩解措施後,受影響的路由器仍可訪問並可通過 LAN 接口進行配置。
思科還表示,它不會在 9 月份修復影響多個 EoL 路由器的關鍵身份驗證繞過漏洞,並建議用戶切換到仍在支持中的 RV132W、RV160 或 RV160W 路由器。
三個月前的 6 月,思科在另一系列報廢 VPN 路由器中發現了一個關鍵的遠程代碼執行 (RCE) 漏洞後,再次鼓勵所有者遷移到更新的路由器型號,該漏洞也未打補丁。
如若转载,请注明出处:https://www.ozabc.com/it/534518.html