在A.安全咨询,思科向用户提供了思科小型企业RV110W,RV130,RV130W和RV215W路由器的通用即插即用(UPnP)服务的漏洞可能允许未经身份验证的远程攻击者执行任意代码或导致受影响的设备重启意外,导致拒绝服务(DOS)条件。

通常我们我们会说“现在补丁”,但你不能,你永远不会因为补丁而不是来的。

cve - 2021 - 34730

公开披露的计算机安全漏洞列在常见漏洞和暴露(CVE)数据库中。它的目标是使跨单独的漏洞功能(工具、数据库和服务)共享数据变得更容易。此漏洞列于cve - 2021 - 34730。由于传入UPnP流量的验证不当,攻击者可以通过向受影响的设备发送制作的UPnP请求来利用此漏洞。

成功的利用可能允许攻击者以根用户的身份在底层操作系统上执行任意代码,或导致设备重新加载,从而导致DoS条件。“作为根用户执行任意代码”等于“做他们喜欢做的事”,这是不好的。CVSS评分为9.8分(满分10分)。(CVSS可以帮助安全团队和开发人员对威胁进行优先排序,并有效地分配资源。)

通用即插即用(UPnP)是一套网络协议,它允许路由器等网络设备无缝地发现网络中彼此的存在,并建立功能强大的网络服务。

从该描述中,应该清楚地,从安全的角度来看,该协议在互联网的设备上没有位置。设置到内部设备的连接后,没有理由使UPnP启用。有很多理由禁用它。

许多与基于upnp的威胁相关的问题都可以追溯到实施过程中的安全问题。路由器制造商历史上在确保其UPnP实现方面并不是很好,这通常会导致路由器未正确检查输入。这正是在这里发生的事情。再次。

通用即插即用本身也存在弱点。最有名的可能是CallStranger,这是由UPnP的订阅函数中的回调标题值引起的,该函数可以由攻击者控制,并启用影响数百万个面向互联网设备的漏洞。

顺便说一句,到目前为止,大多数供应商应该已经修补了这个特殊的漏洞。但CVE-2021-34730却不会,原因如下……

没有补丁

受影响的路由器已进入生命结束过程因此思科没有发布软件更新以解决问题。根据安全咨询,似乎他们没有计划这样做:

“思科没有发布,不会发布软件更新以解决此咨询中描述的漏洞。”思科还表示,它不知道任何恶意使用这种脆弱性。

由于没有解决此漏洞的解决方法,因此管理员所拥有的唯一选择是禁用受影响的功能(UPnP)。或购买新的路由器。由于路由器将来不会收到任何问题的更新,因此我们建议您执行两者:现在禁用UPnP,并尽快购买新路由器。

减轻

对于受影响的路由器的所有者来说,尤为重要的是检查WAN和LAN接口上是否禁用UPnP。WAN接口默认设置为OFF,但这并不意味着它自以来尚未更改。默认情况下,LAN接口设置为ON,需要关闭。思科建议在设备的LAN接口上禁用UPnP,您可以执行以下操作:

  • 打开web管理界面,选择“基本设置> UPnP”。
  • 选中“禁用”复选框。

在这两个接口上禁用UPnP是很重要的,因为这是消除漏洞的唯一方法。

保持安全,每个人!