聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

思科SMB路由器中存在两个严重的漏洞（CVE-2023-20025和CVE-2023-20026），可导致未认证攻击者完全控制目标设备，以root权限运行命令。遗憾的是，即使已存在在野PoC exploit，思科仍然不打算修复。

漏洞如遭成功利用，可导致攻击者窃听或劫持VPN和会话流量，在企业网络中进行横向移动站稳脚跟或者运行密币挖矿僵尸网络客户端或其它恶意软件。Bugcrowd 公司的创始人兼首席技术官 Casey Ellis 指出，“从技术角度来看，它是一个具有吸引力的目标。作为攻击者，如果你能够设法在核心路由或网络基础设施上执行远程代码，则横向移动的能力呈指数级增长。”

01

可获取root权限

第一个漏洞是严重的认证绕过漏洞CVE-2023-20025，位于设备的Web 管理接口中，CVSS评分为9分。第二个漏洞CVE-2023-20026可导致远程代码执行后果，不过攻击者需要在受影响设备上具有合法的管理员凭据才能利用成功，因此该漏洞被评级为“中危”，CVSS评分为6.5。

这两个漏洞均影响RV016、RV042、RV042G和RV082路由器，它们已达到生命周期期限。因此思科在1月11日发布的安全公告中提到将不会发布安全更新。公告中提到，这两个漏洞都是因为“在进站HTTP数据包中对用户输入验证不当造成的”，因此攻击者只需要向基于Web的管理接口发送构造的HTTP请求即可获得底层操作系统上的root访问权限。

思科“已发现本安全公告中相关漏洞的PoC利用代码”，不过目前尚未发现在野攻击迹象。思科提到，虽然目前不存在相关应变措施，但可以禁用路由器的远程管理并拦截对端口443和60443的访问作为缓解措施。也就是说路由器仅可通过LAN接口访问。

Netenrich 公司的首席威胁猎人John Bambenek 指出，“不允许远程管理可从开放互联网访问的网络设备一直都是最佳实践，不过使用某些MSP/MSSPs的小企业必须将其为服务提供商打开。也就是说，PoC代码公开可用而无补丁的情况是最糟糕的。”

替换相关设备是保护企业不受威胁的最佳方式。

02

巨大影响

研究人员表示，相关路由器的安装数量非常庞大，即使它们已停用。过期设备仍然用于业务环境中的情况并不少见，而这就提供了庞大的攻击面。

Vulcan Cyber的高级技术工程师 Mike Parkin 提到，“受影响的思科小企业路由器的使用仍然广泛，尽管它们已被官方认为到达生命周期期限。未来的挑战就是这些设备一般存在于资源有限的小企业中或者为没有替换预算的个体使用。”

Ellis 提到，受影响的并非只有中小企业，“SMB路由器的部署非常广泛，而且在疫情后的远程工作情境下，它不仅仅是SMB的问题。它的潜在用户是分公司办公室、卓越中心、甚至是家庭办公室。”

代码卫士试用地址：https://codesafe.qianxin.com

开源卫士试用地址：https://oss.qianxin.com

推荐阅读

思科提醒：很多严重漏洞已遭利用

思科ISE多个漏洞可用于一次点击exploit

思科决定不修复已达生命周期路由器中的认证绕过0day

思科ASA防火墙中存在多个漏洞，可被用于供应链攻击

原文链接

https://www.darkreading.com/remote-workforce/critical-cisco-smb-router-bug-authentication-bypass-poc-available

题图：Pexels License‍

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

 觉得不错，就点个 “在看” 或 "赞” 吧~