旧款思科企业路由器爆出严重漏洞，设备已停止支持无法修复

旧款思科企业路由器爆出严重漏洞，设备已于2019年开始停止技术支持，表示该重大安全漏洞将无法修复。

漏洞CVE-2021-34730（CVSS 评分：9.8），该问题存在于路由器的通用即插即用 (UPnP) 服务中，使未经身份验证的远程攻击者能够执行任意代码或导致受影响的设备意外重启，导致拒绝服务 (DoS) 条件。

该公司表示，该漏洞是由于对传入 UPnP 流量的验证不当造成的，可能会被滥用以向受影响的设备发送特制的 UPnP 请求，从而导致以 root 用户身份在底层操作系统上远程执行代码。

“思科尚未发布也不会发布软件更新来解决该漏洞，”该公司在周三发布的公告中指出。“思科小型企业 RV110W、RV130、RV130W 和 RV215W 路由器已进入报废流程。我们鼓励客户迁移到思科小型企业 RV132W、RV160 或 RV160W 路由器。”

该问题影响以下产品 ：

• RV110W Wireless-N VPN 防火墙
• RV130 VPN 路由器
• RV130W Wireless-N 多功能 VPN 路由器
• RV215W Wireless-N VPN 路由器

在没有补丁的情况下，思科建议客户在 LAN 接口上禁用 UPnP。IoT Inspector 研究实验室的 Quentin Kaiser 因报告了该漏洞而受到赞誉。

“很多时候，在更换系统或服务后，遗留系统或服务会继续运行，‘以防万一’再次需要它。问题在于——就像通用插件中的这个漏洞一样Tripwire 系统工程师经理 (EMEA) 的 Dean Ferrando 说：“即用即用服务——遗留系统或服务通常没有及时更新安全更新或配置。”

“这使它成为不良行为者的绝佳目标，这就是为什么仍在使用这些旧 VPN 路由器的组织应立即采取措施更新其设备的原因。这应该是在整个攻击面强化系统的整体努力的一部分，这有助于保护数字资产的完整性，并防止可能被用作切入点的漏洞和常见安全威胁，”费兰多补充道。

CVE-2021-34730 标志着该公司自今年年初以来第二次采取不发布报废路由器修复程序的方法。今年 4 月初，思科敦促用户升级他们的路由器，作为解决影响 RV110W VPN 防火墙和小型企业 RV130、RV130W 和 RV215W 路由器的类似远程代码执行错误 ( CVE-2021-1459 ) 的对策。

此外，思科还针对本周早些时候曝光的影响黑莓 QNX 实时操作系统 (RTOS)的严重 BadAlloc 缺陷发出警报，称该公司“正在调查其产品线，以确定哪些产品和服务可能受此漏洞的影响。”