說起思科RV系列無線路由器(具備VPN、防火墻功能),相信大家都不陌生。而近日,思科提醒用戶,該系列產(chǎn)品Web界面存在遠(yuǎn)程代碼執(zhí)行漏洞,不過思科要到今年第三季度才會(huì)發(fā)布修補(bǔ)該漏洞的新固件。
思科暫不修復(fù)RV系列無線路由器的漏洞
思科表示,目前受影響的設(shè)備包括RV110W、RV130W、RV215W無線路由器等。攻擊者可以利用此漏洞發(fā)送精心編制(自定義用戶數(shù)據(jù))的HTTP請(qǐng)求,思科在安全公告中指出,這意味著攻擊者可以獲得Root級(jí)別的系統(tǒng)權(quán)限,從而發(fā)動(dòng)更進(jìn)一步的攻擊。
眾所周知,傳統(tǒng)網(wǎng)絡(luò)設(shè)備的Web管理界面,可以通過本地局域網(wǎng)或遠(yuǎn)程管理功能來登錄,不過思科強(qiáng)調(diào),默認(rèn)情況下,其無線路由器中的遠(yuǎn)程管理功能是禁用的,并建議用戶暫時(shí)禁用該功能。
其實(shí)除了思科外,近日NETGEAR部分型號(hào)的路由器也曝出了相似的漏洞,其對(duì)用戶個(gè)人隱私和數(shù)據(jù)安全構(gòu)成威脅——遠(yuǎn)程未經(jīng)認(rèn)證的攻擊者可以在網(wǎng)絡(luò)上獲得對(duì)上述路由器的管理員訪問權(quán)限,并可以對(duì)網(wǎng)絡(luò)上的受害者發(fā)起中間人攻擊,甚至解密攔截到的通信數(shù)據(jù)。
NETGEAR隨后也證實(shí)如果用戶開啟了遠(yuǎn)程管理,網(wǎng)絡(luò)攻擊者便可以利用CVE-2015-8288漏洞,獲得其硬編碼的RSA私鑰以及硬編碼X.509證書和密鑰的訪問權(quán)限。而對(duì)于這些加密密鑰有些研究的攻擊者,就可以借此輕松地掌控管理員權(quán)限,進(jìn)而對(duì)用戶的敏感數(shù)據(jù)實(shí)現(xiàn)攔截。
不過與思科不同的是,NETGEAR很快推出了新版本固件,修復(fù)了認(rèn)證繞過漏洞,以及解決了嵌入在舊版本固件上的硬編碼加密密鑰等問題。