神刀安全网

思科暂不修复RV系列无线路由器的漏洞

说起思科RV系列无线路由器(具备VPN、防火墙功能),相信大家都不陌生。而近日,思科提醒用户,该系列产品Web界面存在远程代码执行漏洞,不过思科要到今年第三季度才会发布修补该漏洞的新固件。

思科暂不修复RV系列无线路由器的漏洞

思科表示,目前受影响的设备包括RV110W、RV130W、RV215W无线路由器等。攻击者可以利用此漏洞发送精心编制(自定义用户数据)的HTTP请求,思科在安全公告中指出,这意味着攻击者可以获得Root级别的系统权限,从而发动更进一步的攻击。

众所周知,传统网络设备的Web管理界面,可以通过本地局域网或远程管理功能来登录,不过思科强调,默认情况下,其无线路由器中的远程管理功能是禁用的,并建议用户暂时禁用该功能。

其实除了思科外,近日NETGEAR部分型号的路由器也曝出了相似的漏洞,其对用户个人隐私和数据安全构成威胁——远程未经认证的攻击者可以在网络上获得对上述路由器的管理员访问权限,并可以对网络上的受害者发起中间人攻击,甚至解密拦截到的通信数据。

NETGEAR随后也证实如果用户开启了远程管理,网络攻击者便可以利用CVE-2015-8288漏洞,获得其硬编码的RSA私钥以及硬编码X.509证书和密钥的访问权限。而对于这些加密密钥有些研究的攻击者,就可以借此轻松地掌控管理员权限,进而对用户的敏感数据实现拦截。

不过与思科不同的是,NETGEAR很快推出了新版本固件,修复了认证绕过漏洞,以及解决了嵌入在旧版本固件上的硬编码加密密钥等问题。

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 思科暂不修复RV系列无线路由器的漏洞

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址