Търсене
Close this search box.

Телефонните адаптери на Cisco са уязвими на RCE атаки

Cisco разкри уязвимост в уеб-базирания интерфейс за управление на 2-портовите телефонни адаптери Cisco SPA112, която позволява на неавтентифициран отдалечен нападател да изпълни произволен код на устройствата.

Проследена като CVE-2023-20126 и с „критична“ CVSS оценка от 9,8, тази уязвимост е причинена от липсващ процес на удостоверяване в рамките на функцията за обновяване на фърмуера.

„Нападателят може да се възползва от тази уязвимост, като надгради засегнатото устройство до подправена версия на фърмуера“, се казва в бюлетина за сигурност на Cisco.

„Успешното експлоатиране може да позволи на атакуващия да изпълни произволен код на засегнатото устройство с пълни привилегии.“

Тези телефонни адаптери са популярен избор в индустрията за включване на аналогови телефони във VoIP мрежи без надграждане.

Въпреки че тези адаптери може да се използват в много организации, те вероятно не са изложени на интернет, което прави тези недостатъци използваеми предимно от локалната мрежа.

Въпреки това получаването на достъп до тези устройства може да помогне на малуер да се разпространи в мрежата без да бъде открит, тъй като софтуерът за сигурност обикновено не следи тези видове устройства.

Тъй като Cisco SPA112 е достигнал края на жизнения си цикъл, той вече не се поддържа от производителя и няма да получи актуализация на сигурността. Освен това Cisco не е предоставила смекчаващи мерки за CVE-2023-20136.

Бюлетинът за сигурност на Cisco има за цел да повиши осведомеността за необходимостта от замяна на засегнатите телефонни адаптери или от внедряване на допълнителни нива на сигурност за защита от атаки.

Препоръчаният модел за замяна е аналогов телефонен адаптер Cisco ATA 190 Series, за който е определена дата на изтичане на експлоатационния срок 31 март 2024 г.

Компанията не знае за случаи на активна експлоатация на CVE-2023-20136 в дивата природа, но това може да се промени във всеки един момент, така че съветваме администраторите спешно да вземат подходящи предпазни мерки.
Критичните по тежест недостатъци на някога популярни устройства са потенциални възможности за използване в атаки, което може да доведе до мащабни инциденти със сигурността.

Източник: По материали от Интернет

Подобни публикации

30 май 2024

OmniVision призна за атака с рансъмуер

Гигантът в областта на производството на полупроводници OmniVision ...
29 май 2024

Пуснат е експлойт за FortiSIEM с максимална тежест

Изследователи в областта на сигурността публикуваха доказателство з...
29 май 2024

Операторът на NYSE Intercontinental Exchange по...

Миналата сряда Комисията по ценните книжа и фондовите борси на САЩ ...
29 май 2024

Рутерът за игри TP-Link Archer C5400X е уязвим

Рутерът за игри TP-Link Archer C5400X е уязвим към пропуски в сигур...
29 май 2024

Christie's потвърждава пробив от RansomHub

Christie’s потвърди, че е претърпяла инцидент със сигурността...
28 май 2024

Потребителите на блокери на реклами имат пробле...

Много потребители съобщават, че видеоклиповете в YouTube автоматичн...
28 май 2024

VMware е била използвана в неотдавнашната хакер...

MITRE сподели информация за това как свързаните с Китай хакери са и...

Как работи Интерпол в областта на киберпрестъпн...

Необходима е сложна координация между правоприлагащите органи, съде...
Бъдете социални
Още по темата
27/05/2024

Несигурната екосистема на M...

Срив на системата доведе до срив...
22/05/2024

Новият Windows 11 Recall на...

Обявяването от Microsoft на новата функция...
16/05/2024

Intel публикува 41 препорък...

Гигантът в областта на чиповете е...
Последно добавени
30/05/2024

OmniVision призна за атака ...

Гигантът в областта на производството на...
29/05/2024

Пуснат е експлойт за FortiS...

Изследователи в областта на сигурността публикуваха...
29/05/2024

Операторът на NYSE Intercon...

Миналата сряда Комисията по ценните книжа...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!