Cisco 不会修补小型商务 VPN 路由器的安全漏洞

Key Takeaways

• Cisco 宣布不会针对已终止支持的小型商务 VPN 路由器发布补丁。
• 漏洞名为 CVE-2022-20923，影响 RV110W、RV130、RV130W 和 RV215W 路由器。
• 攻击者可以利用此漏洞绕过身份验证，访问 IPSec VPN 网络。
• Cisco 建议用户升级到更新型号，如 RV132W、RV160 或 RV160W 路由器。

根据 的报导，Cisco 已经确认不会针对一个新的身份验证绕过（零日漏洞）发布补丁，该漏洞影响到小型商务 VPN路由器，这些路由器已经达到终止支持的状态。出现此漏洞的原因被认为是错误的密码验证算法。

此漏洞被跟踪为 CVE-2022-20923，具体影响以下路由器型号：RV110W、RV130、RV130W 和 RV215W，这些路由器最后一次公开订购是在 2019 年 12 月。Cisco 表示：“成功的利用可以让攻击者绕过身份验证并访问 IPSec VPN网络。根据所使用的精心设计的凭证，攻击者可能会获得与管理用户相同级别的权限。”

尽管目前还没有证据表明这一漏洞在实际中遭到利用的证据，但对于现已不支持的系统用户，Cisco 还是强烈建议他们升级到较新的路由器型号。Cisco指出：“Cisco 没有发布也将不会发布任何更新来解决本公告中所述的漏洞。建议客户迁移到 Cisco 小型商务 RV132W、RV160 或 RV160W路由器。”

相关链接

这一事件再一次提醒企业用户注意路由器和安全设备的及时更新，以保障网络安全。