最近,思科修复了一组影响小型企业VPN路由器的关键漏洞,这些漏洞可能允许未经身份验证的攻击者在易受攻击的设备或指令上执行任意代码。安全研究人员在基于Web管理界面和Web过滤器的数据库更新功能中发现了这组安全漏洞(分别追踪为CVE-2022-20842和CVE-2022-20827)。经过分析,发现这组漏洞都是输入验证不充分造成的。受这些漏洞影响的路由器主要包括SmallBusinessRV160、RV260、RV340和RV345系列VPN路由器(CVE-2022-20842只影响后两者)。受漏洞影响系列路由器攻击者可利用该漏洞执行任意命令安全研究人员披露,攻击者可利用CVE-2022-20842和精心制作的HTTP输入执行任意代码或重新加载设备,从而导致DoS条件。对于CVE-2022-20827,攻击者可以利用此漏洞向Web过滤器数据库更新功能提交精心制作的输入命令,以使用“root”权限在底层操作系统上执行任意命令。上述漏洞是由IoTInspectorResearchLab、ChaitinSecurityResearchLab和CLPTeam的安全研究人员发现的。思科已发布软件更新来解决这两个漏洞,但强调没有任何解决方法可以消除攻击媒介。修复的其他漏洞值得注意的是,思科最近修补了RV160、RV260、RV340和RV345系列路由器的开放式即插即用(PnP)模块中的一个高危漏洞(CVE-2022-20841)。如果用户没有及时更新补丁,攻击者可以利用该漏洞向未打补丁的设备发送恶意指令,对底层Linux操作系统进行任意操作。上个月,思科还解决了CiscoNexusDashboard数据中心管理解决方案中的另一组严重安全漏洞,这些漏洞可能允许未经身份验证的攻击者以root或管理员权限远程执行任意命令和操作。
