缺陷公开思科小型商务路由器,防火墙到黑客攻击
2021-07-06 18:44:20 [来源]:
来自小型企业RV系列的三种型号的思科无线VPN防火墙和路由器包含了一个关键的未分组漏洞,攻击者可以远程攻击来控制设备。
该漏洞位于Cisco RV110W Wireless-N VPN防火墙的基于Web的管理界面,RV130W Wireless-N多功能VPN路由器和RV215W Wireless-N VPN路由器。
如果受影响的设备是针对远程管理的CONPD,可以很容易地利用,因为攻击者只需要使用自定义用户数据发送未经身份的HTTP请求。这将导致远程代码执行作为root,系统上的最高特权帐户,并且可以导致完全妥协。
思科系统警告周三安全咨询中的漏洞,但尚无补丁。该公司计划在2016年第三季度发布将在受影响的模型上解决此缺陷的固件更新。
更糟糕的是,这不是这三个思科设备中存在的唯一不封闭的漏洞。该公司还警告了中等严重程度,跨站点脚本(XSS)缺陷和两个中等风险缓冲区溢出,可能导致拒绝服务条件。
虽然利用缓冲区溢出需要攻击者在设备的基于Web的界面中具有经过身份验证的会话,但可以通过欺骗经过身份验证的用户来单击专门制作的URL来触发XSS漏洞。
“成功的利用可以允许攻击者在设备的基于Web的管理界面的上下文中执行任意脚本,或者允许攻击者访问基于敏感的浏览器的信息,”思科在咨询中表示。
XSS漏洞使用户难以在没有补丁的情况下找到缓解策略,因为它可以与其他漏洞结合起来。例如,如果用户在其设备中禁用外部管理以保护它们免受关键漏洞,则设备仍将通过跨站点脚本缺陷公开。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。
