Телефонните адаптери на Cisco са уязвими на RCE атаки

Cisco разкри уязвимост в уеб-базирания интерфейс за управление на 2-портовите телефонни адаптери Cisco SPA112, която позволява на неавтентифициран отдалечен нападател да изпълни произволен код на устройствата.

Проследена като CVE-2023-20126 и с „критична“ CVSS оценка от 9,8, тази уязвимост е причинена от липсващ процес на удостоверяване в рамките на функцията за обновяване на фърмуера.

„Нападателят може да се възползва от тази уязвимост, като надгради засегнатото устройство до подправена версия на фърмуера“, се казва в бюлетина за сигурност на Cisco.

„Успешното експлоатиране може да позволи на атакуващия да изпълни произволен код на засегнатото устройство с пълни привилегии.“

Тези телефонни адаптери са популярен избор в индустрията за включване на аналогови телефони във VoIP мрежи без надграждане.

Въпреки че тези адаптери може да се използват в много организации, те вероятно не са изложени на интернет, което прави тези недостатъци използваеми предимно от локалната мрежа.

Въпреки това получаването на достъп до тези устройства може да помогне на малуер да се разпространи в мрежата без да бъде открит, тъй като софтуерът за сигурност обикновено не следи тези видове устройства.

Тъй като Cisco SPA112 е достигнал края на жизнения си цикъл, той вече не се поддържа от производителя и няма да получи актуализация на сигурността. Освен това Cisco не е предоставила смекчаващи мерки за CVE-2023-20136.

Бюлетинът за сигурност на Cisco има за цел да повиши осведомеността за необходимостта от замяна на засегнатите телефонни адаптери или от внедряване на допълнителни нива на сигурност за защита от атаки.

Препоръчаният модел за замяна е аналогов телефонен адаптер Cisco ATA 190 Series, за който е определена дата на изтичане на експлоатационния срок 31 март 2024 г.

Компанията не знае за случаи на активна експлоатация на CVE-2023-20136 в дивата природа, но това може да се промени във всеки един момент, така че съветваме администраторите спешно да вземат подходящи предпазни мерки.
Критичните по тежест недостатъци на някога популярни устройства са потенциални възможности за използване в атаки, което може да доведе до мащабни инциденти със сигурността.

Източник: По материали от Интернет

Подобни публикации

Глобиха Amazon с 30 млн. долара заради домофона...

Amazon ще плати 30 млн. долара глоби за уреждане на обвиненията в н...
1 юни 2023

Подробности за Migraine - уязвимост на Apple macOS

Microsoft сподели подробности за вече поправен недостатък в Apple m...

Лов на заплахи в шест стъпки

Откриването на  заплахите, преди те да са ви открили, е от ключово ...
31 май 2023

Уязвимостта в Barracuda е използвана минимум 7 ...

Фирмата за корпоративна сигурност Barracuda разкри във вторник, че ...

Как да избегнете прегарянето в екипа си по кибе...

Въпреки че кибератаките се увеличават през последните години, една ...
30 май 2023

Бели хакери спечелиха 105 000 долара от Sonos One

Няколко недостатъка в сигурността, открити в безжичните високоговор...

Идва ли Windows 12?

Голямата актуализация на Windows 11 за края на тази година, известн...
Бъдете социални
Още по темата
31/05/2023

Уязвимостта в Barracuda е и...

Фирмата за корпоративна сигурност Barracuda разкри...
26/05/2023

Грешка в OAuth засяга стоти...

Уязвимост в киберсигурността, открита при прилагането...
22/05/2023

HP работи по проблема с лош...

HP работи по отстраняване на проблема...
Последно добавени
01/06/2023

Глобиха Amazon с 30 млн. до...

Amazon ще плати 30 млн. долара...
01/06/2023

Подробности за Migraine - у...

Microsoft сподели подробности за вече поправен...
01/06/2023

Лов на заплахи в шест стъпки

Откриването на  заплахите, преди те да...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!