速修复!Buffalo VR-S1000 VPN 路由器中存在多个漏洞
2023-12-28 16:5:36 Author: mp.weixin.qq.com(查看原文) 阅读量:5 收藏

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

Buffalo VR-S1000 BroadStation Pro VPN 路由器中存在多个漏洞,不仅为业务网络带来完整性风险,还可能导致数据泄露和越权访问问题。VR-S1000 路由器用于很多业务网络中,用于创建多个位置之间的 VPN 安全连接。

CVE-2023-45741 是一个OS命令注入漏洞,可导致认证的远程攻击者在操作系统中注入任意命令,利用该漏洞。该漏洞的根因在于 ping 命令的不安全实现。

CVE-2023-46681是 SSH CLI 命令注入漏洞。该漏洞位于路由器的命令行接口 (CLI) 中,可导致具有最小权限的本地攻击者执行命令注入攻击,攻陷路由器的核心操作系统。

CVE-2023-46711 是使用弱硬编码密钥漏洞。该漏洞暴露了 VR-S1000 安全性中的弱链接,mysql 和守护进程用户使用硬编码的 MD5crypt 哈希,导致设备轻易成为暴力破解攻击的目标。

CVE-2023-51363是敏感信息泄露漏洞,可导致具有网络邻近性的未认证攻击者访问该路由器的 web 管理页面并获取敏感信息。

上述三个漏洞是由 NeroTeam 安全实验室的两名研究员发现并报送的,它们的技术详情和 PoC 已发布。

截止到2022年8月15日,已有525台 Buffalo VR-S1000 台 BroadStation Pro 设备被暴露到互联网且受上述三个漏洞影响。

Buffalo 已发布固件更新版本 2.42 修复这些漏洞。该更新并不仅是一份补丁,它是保护 VR-S1000 免受这些漏洞影响的重要安全加固。Buffalo 督促所有用户更新设备,确保安全。

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com

推荐阅读

Fortinet 修复 Fortigate SSL-VPN 设备中严重的 RCE 漏洞

合勤科技防火墙和VPN设备中存在多个严重漏洞

Synology 修复严重的VPN路由器漏洞,CVSS评分10分

Fortinet 紧急修复已遭利用的VPN漏洞

思科修复VPN路由器中多个严重的RCE漏洞

原文链接

https://securityonline.info/the-urgent-need-to-patch-buffalos-vr-s1000-vpn-router/

题图:Pexels License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247518521&idx=2&sn=d1483115a5167b8609e5a7831a484672&chksm=ea94b853dde33145411a1b3ea61de5a9a53c48827d14d5ada05726694e593b5b6974c761e302&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh