VPN路由器已达生命周期，思科称不予修复认证绕过漏洞

因多款小企业VPN路由器已经达到了生命周期，因此思科表示，新的认证绕过漏洞 (CVE-2022-20923)将不予修复。据悉，该漏洞由一个密码验证不当的算法引发的。如果启用了IPSec VPN服务器特性，攻击者可使用“构造凭据”利用该漏洞登录到易受攻击设备上的VPN。

9月7日，思科在发布的安全报告中指出，成功利用可导致攻击者绕过认证并访问 IPSec VPN网络。攻击者可能获取管理员用户权限，具体取决于使用的构造凭据。

如何判断路由器是否启用IPSec VPN Server？

如果用户需要判断路由器上是否启用了IPSec VPN Server，可以登录web管理接口，到 VPN > IPSec VPN Server > Setup处查看。如“服务器启用”框已勾选，则设备被暴露到CVE-2022-20923利用尝试下。

幸运的是，思科表示，产品安全事件响应团队并没有发现0day已遭在野利用的证据。

安全建议：更新路由器

思科要求，如果用户仍使用RV110W、RV130、RV130W和RV215W路由器，应立即更新至最新版本。

从思科发布的终止使用公告可以看出，RV系列路由器停止发售日期是2019年12月。思科指出，“思科已不发布或者将不会发布软件更新来解决公告中描述的漏洞。客户应迁移至思科小企业RV132W、RV160或RV160W路由器”。

CVE-2022-20923并不是第一个影响已达生命周期路由器且思科不修复的漏洞。2021年8月，思科表示不会修复RV系列路由器中的严重漏洞（CVE-2021-34730）。该漏洞可导致未认证攻击者以root用户身份远程执行任意代码，要求用户迁移至更新版本。

2022年6月，思科表示不会修复RCE漏洞（CVE-2022-20825），建议用户升级至更新版本。

为什么要及时升级路由器版本？

1、软件升级会提升路由器功能和性能，提升用户体验；

2、升级更新版本，可以修复一些问题、漏洞。

为了修复一些问题，防止不法分子利用漏洞进行攻击，用户要及时升级至更新版本。路由器升级也是有用的，可以提高路由器的性能，也可能厂家修复软件中的BUG。