思科系统(Cisco Systems)为其小型企业RV系列路由器和防火墙发布了补丁,以解决可能允许攻击者在易受攻击的设备上执行任意命令和覆盖文件的漏洞。
受影响产品有Cisco RV120W无线- n VPN防火墙、Cisco RV180 VPN路由器、Cisco RV180W无线- n多功能VPN路由器、Cisco RV220W无线网络安全防火墙。然而,固件更新已经发布仅针对前三款机型,而思科RV220W的修复预计将在本月晚些时候进行。
另外:庆祝思科成立25周年
其中一个修补后的缺陷允许攻击者通过设备的基于web的管理界面中的网络诊断页面以根用户(最高特权帐户)的身份执行任意命令。这个缺陷源于表单字段中不正确的输入验证,表单字段应该只允许PING命令。它的利用需要一个到路由器接口的经过身份验证的会话。
第二个漏洞允许攻击者对设备上已经通过身份验证的用户执行跨站请求伪造(CSRF)攻击。攻击者可以利用他们已验证的浏览器会话执行未经授权的操作,如果他们可以欺骗这些用户点击特别设计的链接。
此漏洞还提供了远程利用第一个漏洞的方法。来自荷兰证券公司证券化的研究人员发现了这两个问题,发布了一个概念验证URL这利用了CSRF漏洞,通过在目标设备上添加流氓管理员帐户的第一个漏洞注入命令。
思科修补的第三个安全漏洞允许未经身份验证的攻击者使用根权限将文件上传到易受攻击的设备上的任意位置。证券化研究人员说,现有文件将被覆盖。
思科发布了适用于RV180和RV180W型号的固件版本1.0.4.14,以及适用于RV120W型号的固件版本1.0.5.9。
用户可以通过不允许从互联网远程访问其管理界面来限制设备暴露于这些缺陷。思科在其报告中称,如果需要远程管理,设备上的Web访问配置屏幕可用于限制特定IP地址的访问。