一、漏洞概述

1、简介

思科系统公司（Cisco）是互联网解决方案的领先提供者，其设备和软件产品主要用于连接计算机网络系统。思科主要产品与业务包括包括宽带有线产品、网络管理、光纤平台、路由器、交换机、网络安全产品与 VPN 设备、网络存储产品、协作终端、视频会议系统、IP 通信系统、无线产品、超融合基础架构、全数字化网络架构等[1]。

2018 年 10 月 24 日至 25 日，在 GeekPwn 上海会议上，中国安全研究人员@Yu Zhang和@Haoliang Lu 首次揭晓并实际利用了该漏洞，但是没有披露漏洞细节。

2019 年 02 月 27 日，Cisco 官方发布安全公告称旗下RV110W、RV130W 和RV215W型号路由器的 Web 管理界面存在远程代码执行漏洞，漏洞编号 CVE-2019-1663。由于没有对登录表单的 pwd 字段做严格过滤，后台在使用 strcpy 函数处理时导致堆栈溢出，未经身份验证的远程攻击者可以在受影响的设备上执行任意代码。Cisco 官方已经发布了所有受该漏洞影响设备的固件补丁[2]。

2019 年 02 月 28 日，网上公开了漏洞细节及 PoC[3]。截止发文，网上还没有公开 EXP。

2019 年 03 月 04 日，Seebug 漏洞平台收录了该漏洞[4]，知道创宇 404 实验室漏洞情报团队开始漏洞应急。

2、影响版本

Cisco RV110W Wireless-N VPN Firewall < 1.2.2.1

Cisco RV130W Wireless-N Multifunction VPN Router < 1.0.3.45

Cisco RV215W Wireless-N VPN Router < 1.3.1.1

二、漏洞复现

1、复现环境

Cisco RV215W Wireless-N VPN Router

三、漏洞影响范围

根据 ZoomEye 网络空间搜索引擎[5]对关键字 RV110W RV130W RV215W+service:"http" 进行搜索，共得到 2,780 条 IP 历史记录，主要分布在美国、加拿大等国家。

国家分布前十：

端口分布前十：

四、防护方案

1、Cisco 官方已经发布了所有受该漏洞影响设备的固件补丁，升级最新固件即可修复漏洞[6]。同时建议关闭公网对设备的访问，可有效减小被攻击的风险。

2、技术业务咨询

    知道创宇技术业务咨询热线 :

    400-060-9587(政府，国有企业)、028-68360638(互联网企业)