路由器出現安全漏洞 思科拒絕修復：你們買新的吧

美國網路裝置廠商思科是全球路由器巨頭，很多企業使用的關鍵路由器都離不開他們的產品，最近該公司的RV系列路由器被發現存在零日安全漏洞，但思科明確拒絕修復漏洞，建議使用者買最新的產品。

據報道，涉及安全問題的是思科面向中小企業推出的VPN路由器，涉及RV110W、RV130、RV130W 和 RV215W系列，出現的漏洞編號為CVE-2022-20923 (cisco-sa-sb-rv-vpnbypass-Cpheup9O)，與密碼驗證演算法錯誤有關，使得攻擊者可以應用專門準備的憑據連線到VPN路由器。

根據思科所說，這個漏洞可以讓攻擊者繞過身份驗證， 並獲得IPSec VPN訪問許可權，甚至可以達到網路管理員同樣的許可權，具體要取決於應用的憑據。

思科確認了該系列路由器的漏洞，但他們明確表示不打算修復漏洞，因為這些產品早已經在2019年被列入停售計劃， 他們對使用者的建議就是購買更新的裝置。

對思科來說，發現安全漏洞但明確不予修復的例子也不是一次兩次了，這次涉及的RV系列路由器去年8月就被發現過漏洞，思科當時也是不打算修復，今年6月份又發現了另外的漏洞，思科的態度依然是不管，只建議使用者升級到最新產品。