思科正在推出一项新的安全更新,修补该公司许多产品和软件中的34个漏洞,其中包括小型企业和VPN路由器,其中有5个被标记为关键。
这些严重漏洞中的第一个被跟踪为CVE-2020-3330,CVSS评分为9.8,影响了Cisco小型企业RV110W Wireless-N VPN防火墙路由器中的Telnet服务。此安全漏洞是由使用设备的默认静态密码引起的,并且如果攻击者获得了此密码,则可以远程劫持路由器。
第二个严重漏洞(CVE-2020-3323也具有9.8的CVSS评分)会影响思科的小型企业RV110W,RV130,RV130W和RV215W路由器。该漏洞存在于这些路由器的在线管理门户中,该门户存在不正确的验证问题,可以通过使用恶意HTTP请求来利用这些问题。
CVSS评分为9.8的第三个漏洞(跟踪为CVE-2020-3144)也影响了该路由器线路,并且该安全漏洞再次位于设备的Web管理门户中。如果被利用,它可能会允许未经身份验证的远程攻击者绕过身份验证,并在受影响的设备上执行任意命令。
严重漏洞
思科的RV110W Wireless-N VPN防火墙和思科RV215W Wireless-N VPN路由器也受到CVE-2020-3331跟踪的漏洞的影响,CVSS评分为9.8,攻击者可以利用该漏洞执行具有root特权的任意代码。该错误在防火墙和路由器的Web管理界面中发现,并且是由设备如何处理用户输入引起的。
Cisco补丁程序中跟踪的最终关键漏洞是Cisco CVE-2020-3140,CVSS评分也为9.8,它存在于Cisco Prime License Manager(PLM)中。这是另一个Web管理门户问题,它是由用户输入处理不当引起的,并且该漏洞可能被发送恶意请求的攻击者滥用。尽管此漏洞可能导致管理员级别的特权升级,但攻击者将需要有效的用户名才能利用它。
除了这五个关键漏洞,思科还为其其他产品和服务发布了许多修复程序,包括身份服务,SD-Wan vManage和vEdge,Webex会议等。公司的客户应接受为解决这些漏洞而进行的任何自动更新,或手动更新其设备和软件。