网络设备供应商Cisco昨日表示,不会发布固件更新,以修复其RV路由器系列中报告的74个漏洞,这些路由器已达到报废(EOL)。
受影响的设备包括Cisco小型企业RV110W、RV130、RV130W和RV215W系统,这两个系统都可以用作路由器,防火墙和VPN。
所有四个都在2017年和2018年达到了EOL,并且最近作为付费支持合同的一部分在2020年12月1日退出了最后一个维护窗口。
在昨天发布的三个安全咨询中[1,2,3],思科表示,自去年12月以来,它收到了漏洞报告,从导致设备崩溃的简单拒绝服务问题,到可用于访问root帐户和劫持路由器的安全漏洞。
该设备制造商表示,它总共收到74个漏洞报告,但不会发布任何软件补丁、缓解措施,或者解决办法,因为这些设备早在几年前就已达到下线。
相反,该公司建议客户将业务转移到更新的设备上,如RV132W、RV160或RV160W机型,这些机型提供相同的功能,并且仍在积极支持。
该公司的一些客户可能不喜欢该公司的决定,但好消息是,今天披露的漏洞都不容易被利用。
Cisco说,所有漏洞都要求攻击者拥有设备的凭据,这就降低了未来几周或几个月网络遭到攻击的风险,给管理员一个机会来计划和准备一个到较新设备的迁移计划,或者至少部署他们自己的对策,否则。
思科拒绝在其EOL路由器中修补的漏洞的CVE标识符如下所示:
