思科不打算修复VPN路由器 RCE 0day

思科建议已达生命周期的 Small Business RV 路由器所有人升级到更新机型，因为该路由器中存在一个远程代码执行0day 且思科不会修复。

该漏洞的编号是CVE-2022-20825，CVSS评分为9.8。思科发布安全公告指出，该漏洞产生的原因在于对受影响设备上进站HTTP数据包的用户输入验证不充分。攻击者可向该 web 管理接口发送特殊构造的请求利用该漏洞，导致以root权限执行命令的后果。

影响和修复方案

该漏洞影响四款 Small Business RV 系列机型，具体为RV110W Wireless-N VPN Firewall、RV130 VPN Router、RV130W Wireless-N Multifunction VPN Router 和RV215W Wireless-N VPN Router。该漏洞仅影响启用了 WAN 连接上web远程管理接口的设备。虽然该远程管理特性在默认配置中并未启用，当通过 Shodan 引擎搜索可发现被暴露的设备。

要判断是否启用了远程管理，管理员应登录该基于 web 的管理接口，导航至基本设置＞远程管理，并验证相关勾选框的状态。

思科表示，由于这些设备不再受支持，因此将不会发布相关安全更新。另外，目前除了关闭 WAN 接口上的远程访问，尚不存在缓解措施。建议用户在迁移至提供支持的思科 Small Business RV132W、RV160或 RV160W 路由器之前应用配置变化。

思科去年曾表示不会修复 UPnP 服务中的一个严重漏洞，并建议用户升级至更新版本。本周，思科修复了位于Secure Email 中的一个严重漏洞。该漏洞可导致攻击者绕过认证并登录到思科邮件网关的 web 管理接口。