思科发布安全更新公告,修补位于数款VPN路由器产品内的一项重大远程程序代码执行(remote code execution,RCE)漏洞。
思科指出,RV110W Wireless-N VPN Firewall、RV130W Wireless-N Multifunction VPN Router及RV215W Wireless-N VPN Router的网页管理接口内置代号CVE-2019-1663的漏洞,由于无法对用户在接口上输入的数据进行适当验证,让攻击者得以发送恶意HTTP调用以黑入目标设备。成功的攻击可让黑客以管理员权限在底层操作系统执行任意程序代码。该漏洞CVSS 3.0 base core被列为9.8分,属于重大风险等级。
在受影响的产品中,RV110W防火墙有瑕疵的软件为1.2.2.1版本以前版本,RV130W为1.0.3.45,在RV215W产品则为1.3.1.1。所幸这三款路由器的网页管理接口皆默认关闭远程链接,除非有自行打开或定制化组态,否则唯有实际插上LAN网络线才能进行管理。
思科表示这项漏洞并无其他权宜性的解决方法,呼呼吁用户应尽快安全更新软件。管理员可在路由器网页管理接口中,循Basic Settings > Remote Management检查是否有打开远程管理的设置。