思科近日针对小型企业VPN路由器产品发布安全公告,警告有引发远程程序代码执行的重大漏洞。但是思科也表示这些产品已经来到EOL(end of life),因此思科并不打算修补,企业应考虑升级到新产品。
最新漏洞CVE-2021-34730出在小型企业路由器产品的UPnP服务组件,对外部送入的UPnP流量验证不当所致。攻击者可以借由发送恶意UPnP调用来开采,一旦成功可让攻击者在以根权限在受害设备的底层OS执行任意程序代码,或是引发设备不预期重开机而导致拒绝服务(Denial of Service,DoS)情形。
受影响的设备包括RV110W、RV130、RV130W和RV215W。启动UPnP者可能曝险。其中,UPnP在LAN的管理接口上默认打开,但在WAN管理接口上默认为关闭。若LAN及WAN上都安装了这些设备,且管理接口都使用默认值的话,仍然会有被攻击的风险。因此这项漏洞风险值达到CVSS 3.0的9.8,属于接近满分的重大漏洞。
不过思科表示不会发布软件更新来修补漏洞,因为这4款产品都已经来到产品生命周期终点(EoL),即思科不再支持。思科也建议用户升级到RV132W、RV160或RV160W系列路由器。