思科修复VPN路由器中多个严重的RCE漏洞

admin 2022年8月5日00:09:06安全漏洞评论30 views1247字阅读4分9秒阅读模式

思科修复VPN路由器中多个严重的RCE漏洞 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士


思科修复了小企业VPN路由器中的两个个严重漏洞(CVE-2022-20842和CVE-2022-20827),可导致未认证的远程攻击者在易受攻击设备上执行任意代码或命令并触发拒绝服务条件。

思科修复VPN路由器中多个严重的RCE漏洞

这两个漏洞位于基于 web 的管理接口和 web 过滤数据库更新特性中,均由输入验证不充分造成。以构造的HTTP输入成功利用CVE-2022-20842可导致攻击者“在底层操作系统上以root 用户身份执行任意代码或使设备重新加载,从而导致DoS 条件。”

而通过向 web 过滤数据库更新特性提交构造的输入,则可利用CVE-2022-20827,从而以root权限在底层操作系统上执行命令。

这些漏洞影响的路由器包括 Small Business RV160、RV260、RV340和RV345 系列路由器(CVE-2022-20842仅影响后两款)。这两个缺陷均可在无需用户交互以及认证的情况下遭利用。

思科已发布软件更新修复这两个漏洞,并表示并不存在应变措施来删除攻击向量。


思科修复VPN路由器中多个严重的RCE漏洞
无在野利用
思科修复VPN路由器中多个严重的RCE漏洞


思科表示目前尚未发现在野的活跃利用或公开可用的exploit。

另外,思科还修复了另外一个高危漏洞 (CVE-2022-20841),它位于RV160、RV260、RV340和RV345系列路由器的 Open Plug and Play (PnP)机型。

如不修复,则该缺陷可导致攻击者通过向未修复设备发送恶意输入的方式,在底层的 Linux 操作系统上执行任意命令。不过,它要求威胁行动者“利用中间人位置或者在与受影响路由器连接的特定网络设备上站稳脚跟。”

上个月,思科还修复了位于思科 Nexus Dashboard 数据中心管理解决方案中的多个严重漏洞,它们可导致未认证攻击者以root 或管理员权限,远程执行命令和执行相关操作。



代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com









推荐阅读

在线阅读版:《2022中国软件供应链安全分析报告》全文
思科严重漏洞可导致攻击者以root身份执行命令
思科修复企业通信解决方案中的严重漏洞
思科不打算修复VPN路由器 RCE 0day
思科安全邮件设备现严重漏洞,认证机制可被绕过
思科修复严重的虚拟机逃逸漏洞,可使主机遭接管



原文链接

https://www.bleepingcomputer.com/news/security/cisco-fixes-critical-remote-code-execution-bug-in-vpn-routers/


题图:Pixabay License



本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




思科修复VPN路由器中多个严重的RCE漏洞
思科修复VPN路由器中多个严重的RCE漏洞

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   思科修复VPN路由器中多个严重的RCE漏洞 觉得不错,就点个 “在看” 或 "” 吧~

原文始发于微信公众号(代码卫士):思科修复VPN路由器中多个严重的RCE漏洞

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年8月5日00:09:06
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  思科修复VPN路由器中多个严重的RCE漏洞 http://cn-sec.com/archives/1222791.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: