思科不会修复报废 VPN 路由器中的零日 RCE 漏洞

在周三发布的安全公告中，思科表示，多个小型企业 VPN 路由器的通用即插即用 (UPnP) 服务中的一个关键漏洞将不会被修补，因为这些设备已报废。

零日漏洞（跟踪为 CVE-2021-34730，严重性评分为 9.8/10）是由对传入 UPnP 流量的验证不当引起的，由 IoT Inspector 研究实验室的 Quentin Kaiser 报告。

未经身份验证的攻击者可以利用它来重新启动易受攻击的设备或作为底层操作系统上的 root 用户远程执行任意代码。

“思科尚未发布也不会发布软件更新来解决此公告中描述的漏洞，”该公司表示。

“思科小型企业 RV110W、RV130、RV130W 和 RV215W 路由器已进入报废流程。”

根据思科网站上的公告，这些 RV 系列路由器可订购的最后一天是 2019 年 12 月 2 日。

该公司要求仍在使用这些路由器型号的客户迁移到仍接收安全更新的更新的 Cisco Small Business RV132W、RV160 或 RV160W 路由器。

此外，思科表示，其产品安全事件响应团队 (PSIRT) 不知道此零日漏洞的任何公开概念验证漏洞或任何在野外利用该漏洞的威胁行为者。

可用的缓解措施

仅当 UPnP 服务开启时，该错误才会影响 RV110W、RV130、RV130W 和 RV215W 路由器型号。

根据 Cisco 的说法，UPnP 仅在 LAN（局域网）接口上的这些设备默认启用，而在所有 WAN（广域网）接口上默认禁用。

如果在 LAN 和 WAN 接口上都禁用了该服务，则受影响的路由器模型不被视为易受攻击。

虽然思科不打算发布安全更新来解决这一严重漏洞，但管理员可以通过基于 Web 的管理界面禁用所有受影响路由器上的 UPnP 服务来消除攻击向量以阻止攻击。

“要确定设备的 LAN 接口上是否启用了 UPnP 功能，请打开基于 Web 的管理界面并导航到基本设置 > UPnP，”思科补充道。“如果未选中禁用复选框，则在设备上启用了 UPnP。”

零日等待补丁

思科两周前透露，上个月披露的自适应安全设备管理器 (ADSM) 启动器中的另一个远程代码执行 (RCE) 漏洞是一个尚未收到安全更新的零日漏洞。

该公司还在首次披露六个月后发布了针对Cisco AnyConnect 安全移动客户端 VPN 软件中另一个零日漏洞(CVE-2020-3556)的补丁 ，尽管它知道公开可用的概念验证漏洞利用代码。

尽管思科没有分享延迟背后的原因，但修复可能不是优先事项，因为没有证据表明存在滥用行为，而且默认配置不易受到攻击。

虽然威胁行为者没有利用这两个漏洞，但在 Twitter 上发布 PoC 漏洞 后，他们立即发现 了 Cisco ASA 漏洞 （ 2020 年 10 月部分修补，  2021 年 4 月完全解决）  。

原文来自: bleepingcomputer.com