思科系统公司发布补丁的小企业RV系列路由器和防火墙地址的漏洞,可能允许攻击者在易受攻击的设备上执行任意命令和覆盖文件。
受影响的产品是思科RV120W Wireless-N无线VPN防火墙,Cisco RV180 VPN路由器,思科RV180W Wireless-N无线多功能VPN路由器和Cisco RV220W无线网络安全防火墙。然而,固件更新已经发布仅前三个型号,而思科RV220W该修补程序是在本月晚些时候的预期。
其中一个修补漏洞允许攻击者以root身份执行任意命令 - 在设备的基于Web的管理界面,通过网络诊断页面 - 最高的特权帐户。该漏洞在一个本应只允许PING命令窗体域不正确输入验证茎。它的开发需要一个验证会话到路由器接口。
第二个漏洞允许攻击者执行对谁已经认证的设备上的用户进行跨站请求伪造(CSRF)攻击。攻击者可以捎带上自己的身份验证的浏览器会话执行未经授权的操作,如果他们能够欺骗那些用户点击特制链接。
该漏洞还提供了一种远程利用的第一个缺陷。从荷兰安全公司的研究人员Securify,谁发现了这两个问题,发表验证的概念网址它利用了CSRF漏洞通过增加目标设备上的流氓管理员帐户的第一个漏洞注入的命令。
这是由Cisco修补第三安全漏洞允许未经认证的攻击来上传利用根特权的脆弱设备上的文件到任意位置。中,Securify研究人员说,现有的文件将被覆盖。
思科发布的固件版本1.0.4.14为RV180和RV180W型号和固件版本1.0.5.9的RV120W。
用户可以通过不允许从Internet到他们的管理界面远程访问限制他们的设备连接到这些缺陷的暴露。如果需要远程管理,设备上的Web Access配置屏幕可以用来限制只对特定IP地址的访问,思科在其公告中说。