Cisco表示不会发布EOL VPN路由器关键0天的软件更新

Cisco最近宣布，不会发布针对Cisco小型企业RV110W、RV130、RV130W和RV215W路由器中的通用即插即用（UPnP）服务漏洞的软件更新。

该漏洞允许未经验证的，远程攻击者执行任意代码或导致受影响的设备意外重新启动，从而导致拒绝服务（DoS）情况。

“此漏洞是由于对传入UPnP流量的不正确验证造成的。攻击者可以通过向受影响的设备发送精心编制的UPnP请求来攻击此漏洞。成功利用此漏洞可使攻击者以根用户身份在底层操作系统上执行任意代码，或导致设备重新加载，从而导致DoS情况，”Cisco在一份声明中说。

“Cisco尚未发布解决此漏洞的软件更新。没有解决此漏洞的解决办法。”

该漏洞仅影响配置了UPnP的RV系列路由器，但在LAN接口上默认启用UPnP服务，在WAN接口上默认禁用UPnP服务。

该公司解释说，为了弄清楚是否在LAN接口上启用了UPnP功能对于设备，用户应打开基于web的管理界面并导航到基本设置>；UPnP。如果未选中禁用复选框，则设备上已启用UPnP。

Cisco表示，尽管禁用受影响的功能在某些测试环境中已被证明是成功的，客户应“确定在他们自己的环境和使用条件下的适用性和有效性。”

他们还警告说，任何解决方法或缓解措施都可能损害他们的网络功能或性能。Cisco敦促客户迁移到Cisco小型企业RV132W、RV160或RV160W路由器。

该漏洞和Cisco的通知在IT领导者中引起了轻微的骚动，其中一些人表示，利用该漏洞需要威胁参与者访问内部网络，可通过网络钓鱼电子邮件或其他方法轻松获取。

BreakQuest首席技术官Jake Williams补充说，一旦进入，威胁参与者可以利用此漏洞利用漏洞轻松控制设备。

“易受攻击的设备广泛部署在较小的商业环境中。一些较大的组织也将这些设备用于远程办公室。该漏洞存在于uPnP中，其目的是允许为需要从Internet传入流量的外部服务动态重新配置防火墙，”Williams告诉ZDNet。

“虽然uPnP对家庭用户非常有用，但它在商业环境中没有一席之地。Cisco可能会在其小型企业产品线上启用uPnP功能，因为这些环境不太可能有专门的支持人员，他们可以根据需要为产品重新配置防火墙。这些环境中的工作人员需要一切“正常工作”。在安全领域，我们必须记住，每一项功能都是等待利用的附加攻击面。”

Williams补充说，即使没有漏洞，如果启用uPnP，环境中的威胁参与者也可以使用它打开防火墙上的端口，允许来自互联网的危险流量。

“由于易受攻击的设备几乎只在小型企业环境中使用，没有专门的技术支持人员，因此几乎从未更新过，“他指出。

Vulcan Cyber首席执行官Yaniv Bar Dayan说，UPnP是大多数互联网连接设备中使用的一种非常恶意的服务，估计超过75%的路由器启用了UPnP。

而思科的产品安全事件响应团队表示，到目前为止还没有发现任何恶意使用该漏洞的情况，Bar Dayan说，黑客利用UPnP控制从IP摄像头到企业网络基础设施的一切。

其他专家，如nVisium高级应用安全顾问Zach Varnell，补充说，设备很少或从未收到更新是极为常见的。用户倾向于保持足够的独立性，不接触工作正常的设备，包括需要重要更新的设备。很多时候，用户还利用即插即用功能，因此他们很少或零配置更改，使设备处于默认状态，最终易受攻击，“Varnell说。

新网络技术全球安全研究副总裁Dirk Schrader补充说，虽然UPnP是普通消费者最不了解的实用程序之一，但它广泛用于SOHO网络设备，如DSL或电缆路由器、WLAN设备，甚至在打印机中。

“UPnP几乎存在于所有家庭网络设备中，并被设备用于查找其他网络设备。它以前曾是攻击目标，大型僵尸网络之一Mirai严重依赖UPnP。鉴于命名的Cisco设备位于SOHO和SMB领域，所有者很可能不知道UPnP及其功能，”Schrader说。

“这一点以及没有解决方法或补丁可用的事实是一个相当危险的组合，因为安装基数肯定不小。希望可以寄托在这样一个事实上——默认情况下——UPnP在受影响的Cisco设备的WAN接口上未启用，仅在LAN端启用。由于消费者不太可能改变这一点，要利用此漏洞，攻击者似乎需要在LAN中使用不同的、已经建立的足迹。但攻击者将检查漏洞，看看还能用它做些什么。”

T-Mobile首席执行官为大规模黑客行为道歉，宣布与Mandiant达成网络安全协议，美国俄亥俄州和西弗吉尼亚州医院系统遭到袭击后，FBI发布了蜂巢勒索软件警报，惠普第三季度业绩喜忧参半由于台式机销售滞后和笔记本电脑兴趣增加，通过注册，您同意使用条款并承认隐私政策中概述的数据实践。

您还将免费订阅ZDNet的今日技术更新和ZDNet公告时事通讯。您可以随时取消订阅这些时事通讯。

您同意接收CBS公司系列的更新、提醒和促销活动，包括ZDNet的今日技术更新和ZDNet公告时事通讯。您可以随时取消订阅

2023-03-22 10:04:42

新人小程序+APP定制199元起

发放福利，助力中小企业发展，真正在互联网中受益

点击询问定制

广告服务展示