說(shuō)起思科RV系列無(wú)線路由器（具備VPN、防火墻功能），相信大家都不陌生。而近日，思科提醒用戶，該系列產(chǎn)品Web界面存在遠(yuǎn)程代碼執(zhí)行漏洞，不過(guò)思科要到今年第三季度才會(huì)發(fā)布修補(bǔ)該漏洞的新固件。

思科暫不修復(fù)RV系列無(wú)線路由器的漏洞

思科表示，目前受影響的設(shè)備包括RV110W、RV130W、RV215W無(wú)線路由器等。攻擊者可以利用此漏洞發(fā)送精心編制（自定義用戶數(shù)據(jù)）的HTTP請(qǐng)求，思科在安全公告中指出，這意味著攻擊者可以獲得Root級(jí)別的系統(tǒng)權(quán)限，從而發(fā)動(dòng)更進(jìn)一步的攻擊。

眾所周知，傳統(tǒng)網(wǎng)絡(luò)設(shè)備的Web管理界面，可以通過(guò)本地局域網(wǎng)或遠(yuǎn)程管理功能來(lái)登錄，不過(guò)思科強(qiáng)調(diào)，默認(rèn)情況下，其無(wú)線路由器中的遠(yuǎn)程管理功能是禁用的，并建議用戶暫時(shí)禁用該功能。

其實(shí)除了思科外，近日NETGEAR部分型號(hào)的路由器也曝出了相似的漏洞，其對(duì)用戶個(gè)人隱私和數(shù)據(jù)安全構(gòu)成威脅——遠(yuǎn)程未經(jīng)認(rèn)證的攻擊者可以在網(wǎng)絡(luò)上獲得對(duì)上述路由器的管理員訪問(wèn)權(quán)限，并可以對(duì)網(wǎng)絡(luò)上的受害者發(fā)起中間人攻擊，甚至解密攔截到的通信數(shù)據(jù)。

NETGEAR隨后也證實(shí)如果用戶開(kāi)啟了遠(yuǎn)程管理，網(wǎng)絡(luò)攻擊者便可以利用CVE-2015-8288漏洞，獲得其硬編碼的RSA私鑰以及硬編碼X.509證書和密鑰的訪問(wèn)權(quán)限。而對(duì)于這些加密密鑰有些研究的攻擊者，就可以借此輕松地掌控管理員權(quán)限，進(jìn)而對(duì)用戶的敏感數(shù)據(jù)實(shí)現(xiàn)攔截。

不過(guò)與思科不同的是，NETGEAR很快推出了新版本固件，修復(fù)了認(rèn)證繞過(guò)漏洞，以及解決了嵌入在舊版本固件上的硬編碼加密密鑰等問(wèn)題。