思科本周发布安全公告,修补中小企业路由器软件上可能导致黑客执行任意程序代码、或发动拒绝服务(DoS)攻击的3项漏洞,包括2个风险值在9.0以上的重大风险漏洞。
这3项漏洞为CVE-2022-20827、CVE-2022-20841及CVE-2022-20842。其中CVE-2022-20842最为严重,是CVSS 9.8的重大漏洞。本漏洞出在中小企业路由器RV系列的Web管理接口上,起于对用户发送调用的验证不足,可让未获授权的远程攻击者发送改造过的HTTP调用开采漏洞。成功的攻击可使攻击者以root用户权限在路由器底层操作系统执行任意程序代码,或使机器不断重复加载,导致服务阻断。
本漏洞为CLP-team研究人员Peanuts披露,影响产品包括Cisco RV340、RV340W、RV345和RV345P Dual WAN Gigabit VPN Routers。
另一个重大漏洞为CVSS 9.0的CVE-2022-20827,为趋势科技Zero Day Initiative和IoT Inspector Research Lab研究人员合作发现。它是出在路由器产品的网页安全防护(Web filter)的数据库更新功能对用户输入指令的验证不足。本漏洞让攻击者对该功能发送改造过的调用指令。成功开采漏洞也能让攻击者以root权限在机器底层操作系统执行指令。
CVE-2022-20841则为路由器Open Plug and Play(PnP)模块对用户调用的验证不足,来自Chaitin Security Research Lab的通报。攻击者可以发送恶意调用来开采漏洞,而得以在底层的Linux操作系统执行任意指令。不过欲开采本项漏洞,攻击者必须通过中间人攻击(man-in-the-middle)取得发送指令的位置,或是先黑入连接目标路由器的某台网络设备上作为据点,因此风险值稍低,为CVSS 8.0。
后2项漏洞皆影响RV160、RV260、RV340和RV345机型。
思科已经针对3项漏洞发布最新版软件。由于没有缓解风险的方法,思科呼吁用户尽快更新。