全球網通大廠 Cisco 日前發布產品資安通報,警示該公司已停產的多款路由器產品,內含一個嚴重資安漏洞 CVE-2023-20025,駭侵者可以透過特製的 HTTP 連線要求來誘發此漏洞並直接控制裝置,無需經過登入程序。
含有該漏洞的 Cisco 路由器產品為已停產的 Cisco Small Business RV016、RV042、RV042G、RV082 等型號,該漏洞存於這些路由器的 web 管理介面。其中 RV016 與RV082 於 2016 年 5 月停售,RV042 與 RV042G 則於 2020 年 1 月 停售,但這兩款路由器的支援仍將持續至 2025 年 1 月底。
據 Cisco 發表的通報指出,該漏洞肇因於未對傳入的 HTTP 封包進行嚴密的用戶輸入驗證檢查;未登入的駭侵者可以發送特製的 HTTP 連線要求來觸發此漏洞,並且在無需經過登入驗證的情形下,直接取得裝置的 root 權限,進一步執行任意程式碼。
本漏洞 CVE-2023-20025 的 CVSS 危險程度評分高達 9.0 分,其危險程度評級為「嚴重」(Critical)等級。
Cisco 也在其通報中指出,由於這些款式的路由器已停產多年,因此 Cisco 將不會提供任何更新版韌體以解決該漏洞,也將不提供暫時解決方案;
Cisco 建議用戶在系統中停用遠端管理功能,並且封鎖連接埠 443 與 60443,以防外部連線。但這種作法並無法阻擋內網裝置存取這兩個連接埠。
- CVE 編號:CVE-2023-20025
- 影響產品資訊: Cisco Small Business RV016、RV042、RV042G、RV082
- 解決方案:建議企業資訊人員或業主,應定期檢視所用連網設備是否定期更新;如果設備過於老舊,以致無法取得更新支援,應加強資安防護,關閉或封鎖不必要的開放連結埠或服務,同時考慮更新設備。
本文轉載自TWCERT/CC。