科技 新浪科技 雲安全日報200917:思科RV340系列路由器發現執行任意代碼漏洞,需要儘快升級

雲安全日報200917:思科RV340系列路由器發現執行任意代碼漏洞,需要儘快升級

原標題:雲安全日報200917:思科RV340系列路由器發現執行任意代碼漏洞,需要儘快升級

根據思科(Cisco)9月16日安全公告顯示,思科小型企業RV340系列路由器發現命令注入和遠程執行代碼漏洞。以下是漏洞詳情:

漏洞詳情

思科小型企業RV340系列路由器的基於Web的管理界面中的多個漏洞可能允許具有管理憑據的經過身份驗證的遠程攻擊者以受限用戶的身份在基礎操作系統(OS)上執行任意命令。這裏需要注意的是,這些漏洞並不相互依賴。無需利用一個漏洞即可利用另一個漏洞。

來源:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rv-osinj-rce-pwTkPCJv

1.命令注入漏洞(CVE-2020-3451)    CVSS評分:7.3 高

思科小型企業RV340系列路由器基於Web的管理界面中的漏洞可能允許未經身份驗證的遠程攻擊者在受影響的設備上執行任意命令。

該漏洞是由於用戶輸入驗證不足所致。攻擊者可以通過向受影響的設備發送惡意請求來利用此漏洞。成功的利用可能使攻擊者能夠在基礎操作系統上運行任意命令。

2.遠程執行代碼漏洞(CVE-2020-3453)  CVSS評分:7.3 高

思科小型企業RV340系列路由器的基於Web的管理界面中的漏洞可能允許未經身份驗證的遠程攻擊者在受影響的設備上執行任意代碼。

該漏洞是由於用戶提供的基於Web的管理界面中的腳本輸入的邊界限制不足所致。攻擊者可以通過將包含過大值的精心設計的請求發送到受影響的設備來利用此漏洞,從而導致緩衝區溢出。成功的利用可能使攻擊者暫時降低介面進程的性能或在基礎操作系統上執行任意代碼。

受影響產品及版本

這些漏洞會影響運行固件在1.0.03.19版本或更早版本的思科小型企業路由器:

RV340W雙WAN千兆無線AC VPN路由器

RV340雙WAN千兆VPN路由器

RV345雙WAN千兆VPN路由器

RV345P雙WAN千兆POE VPN路由器

思科已確認這些漏洞不會影響以下思科產品:

RV160 VPN路由器

RV160W無線AC VPN路由器

RV260 VPN路由器

解決方案

1.目前思科還未發布修復上述漏洞的解決方法,思科給出的建議是:在考慮軟體升級時,建議客戶定期查閱Cisco產品諮詢(可從Cisco Security Advisories頁面獲得),以確定曝光度和完整的升級解決方案。在所有情況下,客戶都應確保要升級的設備包含足夠的內存,並確認新版本將繼續正確支持當前的硬體和軟體配置。如果信息不清楚,建議客戶聯繫思科技術支持中心(TAC)或他們的合同維護提供商。

2.在官方發布修復措施前,受此漏洞的企業用戶也可以根據上述漏洞細節信息,暫時關閉設備遠程管理功能,降低被攻擊的風險,加強安全。

查看更多漏洞信息 以及升級請訪問官網:

https://tools.cisco.com/security/center/publicationListing.x