APP下载

思科小型企业VPN路由器重大漏洞,但已届EOL不会有修补程式

消息来源:baojiabao.com 作者: 发布时间:2024-11-30

报价宝综合消息思科小型企业VPN路由器重大漏洞,但已届EOL不会有修补程式

思科近日针对小型企业VPN路由器产品发布安全公告,警告有引发远端程式码执行的重大漏洞。但是思科也表示这些产品已经来到EOL(end of life),因此思科并不打算修补,企业应考虑升级到新产品。

最新漏洞CVE-2021-34730出在小型企业路由器产品的UPnP服务元件,对外部送入的UPnP流量验证不当所致。攻击者可以借由传送恶意UPnP呼叫来开采,一旦成功可让攻击者在以根权限在受害装置的底层OS执行任意程式码,或是引发装置不预期重开机而导致阻断服务(Denial of Service,DoS)情形。

受影响的装置包括RV110W、RV130、RV130W和RV215W。启动UPnP者可能曝险。其中,UPnP在LAN的管理界面上预设开启,但在WAN管理界面上预设为关闭。若LAN及WAN上都安装了这些装置,且管理界面都使用预设值的话,仍然会有被攻击的风险。因此这项漏洞风险值达到CVSS 3.0的9.8,属于接近满分的重大漏洞。

不过思科表示不会释出软件更新来修补漏洞,因为这4款产品都已经来到产品生命周期终点(EoL),即思科不再支援。思科也建议用户升级到RV132W、RV160或RV160W系列路由器。

2021-08-30 14:47:00

相关文章