思科VPN路由器上的关键漏洞允许攻击者远程接管设备
2021-08-21
来源:嘶吼专业版
思科系统公司的小型企业VPN路由器的一个关键的安全漏洞可能允许未经认证的远程攻击者接管设备。研究人员说,至少有8800个易受攻击的系统可以被入侵。
在本周推出的一系列补丁中,思科已经修复了该漏洞(CVE-2021-1609)。总的来说,这些修补程序和受影响的产品如下。
(1)思科RV340、RV340W、RV345和RV345P双WAN千兆VPN路由器网络管理漏洞
(2)思科小型企业RV160和RV260系列VPN路由器远程命令执行漏洞
(3)思科Packet Tracer for Windows DLL注入漏洞
(4)思科网络服务协调器CLI安全外壳服务器特权升级漏洞
(5)ConfD CLI服务器特权升级漏洞
千兆位VPN路由器存在严重的RCE安全漏洞
这个关键的漏洞会影响到该供应商的双WAN千兆VPN路由器。根据公告,CVE-2021-1609存在于设备的网络管理界面,其CVSSv3漏洞严重程度为9.8分。它是由于HTTP请求的错误验证而产生的。
根据Tenable周四的分析,一个远程的、未经认证的攻击者可以通过向有漏洞的设备发送特制的HTTP请求来利用该漏洞,该漏洞使得攻击者可以执行任意的代码以及重新加载设备,从而导致拒绝服务(DDoS)。
据思科称,这些设备的远程管理在默认情况下是被禁用的,该漏洞的利用门槛很高。然而,Tenable公司的研究人员发现,有超过8800台设备可以被公开访问,设备很容易被利用。
同时,影响设备的第二个漏洞CVE-2021-1610,是同一网络管理界面中的一个高级命令注入漏洞。
据Tenable称:“虽然这两个漏洞都是由于HTTP请求验证不当而造成的,并且可以通过发送特制的HTTP请求来利用,但CVE-2021-1610只能由具有root权限的认证攻击者来利用,如果能成功利用,那么可以使得攻击者在受攻击设备的操作系统上执行任意命令。”
思科指出,其小型企业VPN路由器的网络管理界面在默认情况下可以通过局域网连接使用,不能被禁用,并补充说某些版本的路由器软件可能只受这两个漏洞中的一个影响。
虽然到目前为止,还没有看到这些漏洞的在野利用,但Tenable警告说,情况以后很可能会发生改变。
2019年1月,思科针对其RV320和RV325广域网VPN路由器中的两个不同的漏洞发布了公告,在公告发布几天后,这些漏洞的概念验证利用脚本就被公布,随后对易受攻击的设备进行了主动扫描。由于这一历史先例,企业必须尽快修补这些最新的漏洞。
该公司补充说,如果不进行打补丁,用户应该确保禁用远程网络管理。
思科的高危安全漏洞
思科还解决了几个高危漏洞,其严重程度在CVSSv3等级的8.8和7.8之间。
编号为CVE-2021-1602的漏洞存在于思科小型企业RV160、RV160W、RV260、RV260P和RV260W VPN路由器的基于Web的管理界面上。如果这些漏洞被利用,它可能会允许未经认证的远程攻击者在底层操作系统上使用root权限执行任意命令。
与千兆VPN路由器漏洞一样,该漏洞是由于对用户的输入验证不足造成的,攻击者可以通过向基于Web的管理界面发送精心设计的http请求来利用它。然而,思科表示,一个好消息是只有没有参数的命令才能被执行。
同时,Cisco Packet Tracer for Windows (CVE-2021-1593)中的一个漏洞可能允许一个经过验证的本地攻击者在受影响的设备上进行DLL注入攻击。根据该公告,攻击者必须在Windows系统上拥有有效的凭证才能成功。
思科解释说:“这个漏洞是由于在运行时对目录路径的处理不正确。攻击者可以通过在系统的特定路径中插入一个配置文件来利用这个漏洞,这可能导致应用程序启动时加载一个恶意的DLL文件。一个成功的利用可以让拥有正常用户权限的攻击者以另一个用户账户的权限在受影响系统上执行任意代码”。
最后一个高危的安全漏洞被追踪为CVE-2021-1572,它会影响到思科网络服务协调器(NSO)和CLI shell(SSH)服务器的ConfD选项。这是一个特权升级的漏洞,可能会允许经过验证的本地攻击者在以高级账户运行的服务中执行任意命令,该账户通常是root。
要利用该漏洞,攻击者必须在受影响的设备上拥有一个有效的账户。
思科称:“该漏洞的存在是因为受影响的软件在启用CLI内置的SSH服务器时使用了错误的账户权限级别来运行SFTP用户服务。拥有低级权限的攻击者可以通过在受影响的设备的SFTP界面发出一系列命令来利用这一漏洞。”
该供应商警告说,任何能够验证内置SSH服务器的用户都可以利用这个漏洞。
由于思科的漏洞很受网络攻击者的欢迎,用户应该更新到产品的最新版本。