思科表示，由于多款小企业VPN路由器已达生命周期，因此不会修复其中的一个新的认证绕过漏洞 (CVE-2022-20923)。

该漏洞是由一个密码验证不当的算法引发的。如果启用了IPSec VPN服务器特性，则攻击者可使用“构造凭据”利用该漏洞登录到易受攻击设备上的VPN。思科在本周三发布的安全公告中指出，“成功利用可导致攻击者绕过认证并访问 IPSec VPN网络。攻击者可能获取管理员用户权限，具体取决于使用的构造凭据。”

用户如需判断路由器上是否启用了IPSec VPN Server，则可登录web管理接口，到 VPN > IPSec VPN Server > Setup处查看。如“服务器启用”框已勾选，则设备被暴露到CVE-2022-20923利用尝试下。

好在，思科表示产品安全事件响应团队并未发现该0day已遭在野利用的证据。

更新路由器

思科要求仍然使用RV110W、RV130、RV130W和RV215W路由器的用户更新至更新版本。

从思科网站上发布的终止使用公告来看，上述RV系列路由器停止发售日期是2019年12月。思科指出，“思科已不发布或者将不会发布软件更新来解决公告中描述的漏洞。客户应迁移至思科小企业RV132W、RV160或RV160W路由器。”

CVE-2022-20923并非首个影响已达生命周期路由器且思科不修复的漏洞。

例如，2021年8月，思科表示不会修复RV系列路由器中的严重漏洞（CVE-2021-34730）。该漏洞可导致未认证攻击者以root用户身份远程执行任意代码，要求用户迁移至更新版本。

2022年6月，思科表示不会修复RCE漏洞（CVE-2022-20825），建议用户升级至更新版本。

原文链接

https://www.bleepingcomputer.com/news/security/cisco-won-t-fix-authentication-bypass-zero-day-in-eol-routers/

来源：代码卫士