思科(Cisco)於2/27發布安全更新公告,修補位於數款VPN路由器產品內的一項重大遠端程式碼執行(Remote Code Execution,RCE)漏洞。思科指出,RV110W Wireless-N VPN Firewall、RV130W Wireless-N Multifunction VPN Router及 RV215W Wireless-N VPN Router的網頁管理介面存在編號CVE-2019-1663的漏洞,由於無法對用戶於介面上輸入之資料進行適當驗證,讓攻擊者得以傳送惡意HTTP Requests入侵目標裝置。成功的攻擊可讓駭客以管理員權限,在底層作業系統執行任意程式碼。該漏洞在CVSS 3.0 Base Core被列為9.8分,屬於重大風險等級。
在受影響的產品中,RV110W防火牆有瑕疵的韌體為1.2.2.1之前的所有版本,RV130W為1.0.3.45之前的所有版本,在RV215W產品則為1.3.1.1之前的所有版本。所幸這三款路由器的網頁管理介面皆預設關閉遠端連線,除非有自行開啟或客製化組態,否則唯有實際連接LAN網路線才能進行管理。思科表示這項漏洞並無其他權宜性的解決方法,呼籲用戶應儘速進行軟體安全更新。管理員可在路由器網頁管理介面中,循Basic Settings > Remote Management檢查是否有開啟遠端管理的設定。