缺陷公开思科小型商务路由器,防火墙到黑客攻击

2021-08-31 17:46:08来源:

来自小型企业RV系列的三种型号的思科无线VPN防火墙和路由器包含了一个关键的未分组漏洞,攻击者可以远程攻击来控制设备。

该漏洞位于Cisco RV110W Wireless-N VPN防火墙的基于Web的管理界面,RV130W Wireless-N多功能VPN路由器和RV215W Wireless-N VPN路由器。

如果受影响的设备是针对远程管理的CONPD,可以很容易地利用,因为攻击者只需要使用自定义用户数据发送未经身份的HTTP请求。这将导致远程代码执行作为root,系统上的最高特权帐户,并且可以导致完全妥协。

思科系统警告周三安全咨询中的漏洞,但尚无补丁。该公司计划在2016年第三季度发布将在受影响的模型上解决此缺陷的固件更新。

更糟糕的是,这不是这三个思科设备中存在的唯一不封闭的漏洞。该公司还警告了中等严重程度,跨站点脚本(XSS)缺陷和两个中等风险缓冲区溢出,可能导致拒绝服务条件。

虽然利用缓冲区溢出需要攻击者在设备的基于Web的界面中具有经过身份验证的会话,但可以通过欺骗经过身份验证的用户来单击专门制作的URL来触发XSS漏洞。

“成功的利用可以允许攻击者在设备的基于Web的管理界面的上下文中执行任意脚本,或者允许攻击者访问基于敏感的浏览器的信息,”思科在咨询中表示。

XSS漏洞使用户难以在没有补丁的情况下找到缓解策略,因为它可以与其他漏洞结合起来。例如,如果用户在其设备中禁用外部管理以保护它们免受关键漏洞,则设备仍将通过跨站点脚本缺陷公开。


返回科技金融网首页 >>

版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。


相关文章