行业新闻

思科发布安全更新公告，修补位于数款VPN路由器产品内的一项重大远端程式码执行（remote code execution，RCE）漏洞。
思科指出，RV110W Wireless-N VPN Firewall、RV130W Wireless-N Multifunction VPN Router及 RV215W Wireless-N VPN Router的网页管理界面内含代号CVE-2019-1663的漏洞，由于无法对用户在界面上输入的资料进行适当验证，让攻击者得以传送恶意HTTP呼叫以骇入目标装置。成功的攻击可让骇客以管理员权限在底层操作系统执行任意程式码。该漏洞CVSS 3.0 base core被列为9.8分，属于重大风险等级。
在受影响的产品中，RV110W防火墙有瑕疵的软件为1.2.2.1版本以前版本，RV130W为1.0.3.45，在RV215W产品则为1.3.1.1。所幸这三款路由器的网页管理界面皆预设关闭远端连线，除非有自行开启或客制化组态，否则唯有实际插上LAN网络线才能进行管理。
思科表示这项漏洞并无其他权宜性的解决方法，呼吁用户应尽速安全更新软件。管理员可在路由器网页管理界面中，循Basic Settings > Remote Management检查是否有开启远端管理的设定。一旦远程管理开启，请手动关闭以防万一。