思科中小企业产品线RV016、RV042、RV042G和RV082路由器上的网页管理接口存在严重漏洞,使得远程攻击者可以绕过身份验证,并在底层操作系统上执行任意命令。但由于这些路由器生命周期已结束,思科表示不会发布新软件解决这些路由器上的漏洞。
思科这些RV系列中小企业路由器的所有软件版本,皆受到CVE-2023-20025、CVE-2023-20026两漏洞的影响,这两个漏洞不互相依赖,要利用其中一个漏洞不需要另外一个漏洞,而存在其中一个漏洞的软件版本,可能不受另一个漏洞影响。
CVE-2023-20025是RV016、RV042、RV042G和RV082路由器上,网页管理接口的漏洞,可让未经身份验证的远程攻击者,绕过设备上的身份验证。造成该漏洞的原因是系统未适当地对用户输入进行验证,攻击者可以通过网页管理接口,发送经过设计的HTTP请求利用该漏洞,以成功绕过身份验证获得底层操作系统的根访问权限。
另外CVE-2023-20026则是一个路由器远程命令执行漏洞,该漏洞同样发生在网页管理接口,可允许经过身份验证的远程攻击者,在受影响的设备上执行任意命令。由于系统对传输HTTP封包中的用户输入验证不当,因此可能允许攻击者获得根权限,并且访问未经授权的资料,但攻击者要利用该漏洞,需要先获得设备上有效的管理凭证。
官方提到,他们没有也不会发布解决该漏洞的软件(因为已过产品生命周期),而目前没有解决这个漏洞的变通方法,管理员只能停用远程管理,并且封锁对连接端口口443和60443的访问来缓解漏洞,实行这些缓解措施后,管理员仍然可以通过LAN接口访问路由器。