近日，思科发现其SMB（中小型企业）路由器中存在两个严重的漏洞（CVE-2023-20025和CVE-2023-20026），可导致未认证攻击者完全控制目标设备，以root权限运行命令。

但思科表示不会发布新软件来修复漏洞。

关于漏洞

思科RV系列中小企业路由器的所有软件版本（包括RV016、RV042、RV042G和RV082），皆受到CVE-2023-20025、CVE-2023-20026两漏洞的影响。

CVE-2023-20025是RV系列路由器上网页管理界面的漏洞，未经身份验证的远程攻击者可绕过装置上的身份验证。造成该漏洞的原因是系统未适当地对用户输入进行验证，攻击者可以通过网页管理界面，发送经过设计的HTTP请求利用该漏洞以成功绕过身份验证获得底层操作系统的root访问权限。该漏洞在 CVSS 漏洞严重性等级中的评分为 9 分（满分 10 分）。

CVE-2023-20026则是一个路由器远程命令执行漏洞，该漏洞同样发生在网页管理界面，可允许经过身份验证的远程攻击者，在受影响的装置上执行任意命令。由于系统对传输HTTP封包中的用户输入验证不当，因此可能会允许攻击者获得root权限，并且访问未经授权的数据。但攻击者要利用该漏洞，需要先获得设备上有效的管理凭证，因此该漏洞的评级为中等， CVSS 评分为 6.5。

思科在其公告中指出：“因为已过产品生命周期，思科没有也不会发布解决此漏洞的软件更新。此漏洞没有解决方法。”

幸运的是，Cisco PSIRT 并没有发现该漏洞在攻击中被滥用。

据思科称，虽然没有解决这些漏洞的方法，但可以通过禁用路由器的远程管理并阻止对端口 443 和 60443 的访问以缓解该问题，这意味着只能通过 LAN 接口访问路由器。

可能会影响数千台设备

研究人员指出，尽管这些路由器已经停产，但这些设备现有的安装基数仍然很大。过时的设备仍在商业环境中长期使用的情况并不少见。更换设备是充分保护企业业务的最佳方案。

“挑战在于，这些设备通常出现在资源有限的小型企业中，或者可能是没有预算更换它们的个人使用。”Vulcan Cyber的高级技术工程师 Mike Parkin说。

而且，受影响的不只是中小企业，Bugcrowd 的 Casey Ellis指出：“中小企业路由器的部署非常广泛，在后 COVID 混合/在家工作的办公模式中，这不仅仅是中小企业的问题。分支机构、COE、甚至家庭办公室都是易受攻击产品的潜在用户。该漏洞可能会影响数千台设备。”

议论纷纷

对思科来说，发现安全漏洞但明确不予修复的例子也不是一次两次了。2022年9 月，一个类似的漏洞被发现困扰着EOL（停产）的 RV110W、RV130、RV130W 和 RV2015W 。当时，思科提示客户转移到 RV132W、RV160 和 RV160W。

RV016 和 RV082 WAN VPN 路由器的最后一次销售是在 2016 年1月和 2016年5月，但 RV042 和 RV042G VPN 路由器的是在 2020 年1月30日才停止销售，并在 2025 年1月31日前将继续享受公司的支持。

网友们对于此事看法不一。

“如果思科提前放弃软件支持，到 2025 年的硬件支持有什么意义？”

“硬件和软件的生命周期非常短，这是通过设计人为创建的，因为供应商希望他们的客户重复购买产品。我认为至少，供应商应该指明他们决定不再提供补丁和更换部件的最早日期。另外，如何设置构建基础设施以及如何在设备上构建和安装二进制文件的说明和源代码应该放在托管中，一旦供应商宣布产品EOL，客户就可以自行访问。”

“对于安全产品，我希望至少 15 年内得到全面支持。由于思科对安全问题的漠视，我认为是时候放弃他们的产品了，应该去支持那些不会让换新设备以解决问题的企业。”

当然，也有不同的声音。

“我从事网络工作大约 20 年，还没有听说过任何供应商/产品在销售结束后能提供 15 年的支持，最多也就5 年左右。”

“有些2016年就停售，2022年初就彻底停止支持了。你买哪个产品能管你一辈子啊？”

“举个例子，门锁很容易受到攻击，有人撬锁的话，门锁厂商都应该被罚款吗？”