思科修补VPN设备漏洞

思科本周发布二波安全公告及修补程式，以分别修补二个影响VPN产品的安全漏洞，其中包括一个风险层级9.8的重大程式码执行漏洞。

本次修补漏洞分别是CVE-2021-1609、CVE-2021-1610以及CVE-2021-1602。前两个皆是出在Small Business VPN产品Dual WAN Gigabit VPN Routers的Web管理界面，对外部传入的HTTP呼叫验证不足，传送恶意呼叫即可开采。其中CVE-2021-1609可让远端攻击者在装置上，执行恶意程式码或指令，或是使装置多次reload而导致阻断服务（DoS）攻击，风险高达9.8。CVE-2021-1610则让经过验证的远端攻击者，以根权限在装置上执行任意指令，风险层级7.2。

两个漏洞影响Dual WAN Gigabit VPN Routers RV340、RV340W、RV345和RV345P。思科已针对这些装置释出固件1.0.03.22予以修补。

CVE-2021-1602则是Small Business RV系列路由器Web管理界面上对使用者输入指令验证不足，可让攻击者传送改造的恶意指令来开采，成功开采可让攻击者以根权限在漏洞装置上执行任意指令。不过思科表示，只有无参数的指令可被执行。

该漏洞风险层级8.2，影响Cisco Small Business VPN Routers RV160、RV160W、RV260、RV260P及 RV260W。甫释出的固件1.0.01.04版可以修补之。

本地LAN连线下，这个Web管理界面预设开放装置连线。广域网络（WAN）界面上也可找到以启用远端管理功能，所幸在这些装置上，远端管理功能是预设关闭，减低了漏洞威胁。思科也表示未发现漏洞被开采的迹象。

不过根据美国、英国及澳洲-日前发布最常被骇客攻击的30项漏洞中，多个VPN品牌名列前茅，因此对于VPN装置的已知漏洞，仍应尽速安装为宜。