思科在一月时,针对企业级路由器RV320和RV325发出安全更新,以修补产品上的资讯泄漏以及远端攻击漏洞,但是现在却被资安公司爆料,思科并没有确实地修补漏洞,仅是封锁特定工具,避免有漏洞的路由器被骇客发现,目前思科正想办法再次修复。
资安公司RedTeam Pentesting GmbH在一月的时候,揭露了两款受到ISP以及企业大量采用的思科WAN VPN路由器RV320和RV325存在两个安全漏洞,分别是编号CVE-2019-1652的远端攻击漏洞,允许骇客不需要密码认证,就能进行远端注射并执行管理者命令,以及CVE-2019-1653漏洞,让远端攻击者不需要密码,就可以获取装置敏感的配置细节资讯。
这两个漏洞被骇客积极的开采,已经有多个资安研究组织释出概念验证攻击程式码,展示如何使用这两个臭虫攻击存在漏洞的路由器。资安研究机构Bad Packets在一月的时候,扫描网路上存在漏洞RV320和RV325的路由器,发现有6,247台RV320路由器以及3,410台RV325路由器存在漏洞,总共约有1万台装置暴露于风险之中。
虽然思科在一月底的时候完成这两个漏洞的修补,但现在RedTeam Pentesting GmbH却再次揭露,思科的安全补丁治标不治本,并没有完全修复漏洞,骇客依然可以不经过网页授权,对路由器进行命令注射、输出配置以及撷取诊断资料。
Bad Packets也在推特指出,RV320和RV325的路由器是在2018年9月发现的,思科经过4个月后在2019年1月释出修复补丁,却仅是将资料传输工具curl列入黑名单,防止攻击者使用curl发现存在漏洞的路由器,而非从根本修复路由器存在的漏洞。
思科在其网站更新漏洞说明,表示当初的修复并不完整,目前他们正在积极的修补这个漏洞,当修复程式码完成将会释出更新,目前没有任何方法可以修补这个漏洞。