思科小型企业VPN路由器重大漏洞，但已届EOL不会有修补程式

思科近日针对小型企业VPN路由器产品发布安全公告，警告有引发远端程式码执行的重大漏洞。但是思科也表示这些产品已经来到EOL（end of life），因此思科并不打算修补，企业应考虑升级到新产品。

最新漏洞CVE-2021-34730出在小型企业路由器产品的UPnP服务元件，对外部送入的UPnP流量验证不当所致。攻击者可以借由传送恶意UPnP呼叫来开采，一旦成功可让攻击者在以根权限在受害装置的底层OS执行任意程式码，或是引发装置不预期重开机而导致阻断服务（Denial of Service，DoS）情形。

受影响的装置包括RV110W、RV130、RV130W和RV215W。启动UPnP者可能曝险。其中，UPnP在LAN的管理界面上预设开启，但在WAN管理界面上预设为关闭。若LAN及WAN上都安装了这些装置，且管理界面都使用预设值的话，仍然会有被攻击的风险。因此这项漏洞风险值达到CVSS 3.0的9.8，属于接近满分的重大漏洞。

不过思科表示不会释出软件更新来修补漏洞，因为这4款产品都已经来到产品生命周期终点（EoL），即思科不再支援。思科也建议用户升级到RV132W、RV160或RV160W系列路由器。