首页保安思科修复了 VPN 路由器中的关键安全漏洞

思科修复了 VPN 路由器中的关键安全漏洞

思科解决了影响许多小型企业 VPN 路由器并允许远程入侵者在易受攻击的设备上触发拒绝服务或执行命令和任意代码的预认证安全漏洞。

思科

由于 HTTP 请求验证不当和用户登录验证不足,在基于 Web 的管理界面中发现了两个安全漏洞,分别为 CVE-2021-1609(得分 9.8 / 10)和 CVE-2021-1602(8.2 / 10)。

另见: 旧金山湾区:科技工作者重返办公室

CVE-2021-1609 影响 路由器 RV340、RV340W、RV345 和 RV345P 双 WAN 千兆 VPN,而 CVE-2021-1602 影响 VPN 路由器 RV160、RV160W、RV260、RV260P 和 RV260W。

作为不需要用户交互的低复杂性攻击的一部分,这两个漏洞都可以在不需要身份验证的情况下远程利用。

攻击者可以通过向受影响的基于 Web 的路由器的管理界面发送恶意 HTTP 请求来利用漏洞。

另见: Cisco ASA 设备上的漏洞:黑客正在积极利用它

远程管理已在所有受影响的路由器上禁用

幸运的是,正如该公司所解释的那样,所有受影响的 VPN 路由器型号默认禁用远程管理功能。

要查看您的设备是否启用了远程管理,您需要通过本地 LAN 连接打开路由器的管理界面,并检查是否启用了基本设置 > 远程管理。

思科已发布更新 软件 为了 对抗 这些漏洞并表示没有可用的解决方法来消除攻击向量。

另见: 思科无法修复达到EOL要求的RV路由器中的74个错误

要从 Cisco 软件中心下载修补固件,您必须在 Cisco.com 上单击“浏览全部”并转至“下载主页”>“路由器”>“小型企业路由器”>“小型企业 RV 系列路由器”。

信息来源:bleepingcomputer.com

spot_img

实时新闻