Телефонните адаптери на Cisco са уязвими на RCE атаки

Cisco разкри уязвимост в уеб-базирания интерфейс за управление на 2-портовите телефонни адаптери Cisco SPA112, която позволява на неавтентифициран отдалечен нападател да изпълни произволен код на устройствата.

Проследена като CVE-2023-20126 и с „критична“ CVSS оценка от 9,8, тази уязвимост е причинена от липсващ процес на удостоверяване в рамките на функцията за обновяване на фърмуера.

„Нападателят може да се възползва от тази уязвимост, като надгради засегнатото устройство до подправена версия на фърмуера“, се казва в бюлетина за сигурност на Cisco.

„Успешното експлоатиране може да позволи на атакуващия да изпълни произволен код на засегнатото устройство с пълни привилегии.“

Тези телефонни адаптери са популярен избор в индустрията за включване на аналогови телефони във VoIP мрежи без надграждане.

Въпреки че тези адаптери може да се използват в много организации, те вероятно не са изложени на интернет, което прави тези недостатъци използваеми предимно от локалната мрежа.

Въпреки това получаването на достъп до тези устройства може да помогне на малуер да се разпространи в мрежата без да бъде открит, тъй като софтуерът за сигурност обикновено не следи тези видове устройства.

Тъй като Cisco SPA112 е достигнал края на жизнения си цикъл, той вече не се поддържа от производителя и няма да получи актуализация на сигурността. Освен това Cisco не е предоставила смекчаващи мерки за CVE-2023-20136.

Бюлетинът за сигурност на Cisco има за цел да повиши осведомеността за необходимостта от замяна на засегнатите телефонни адаптери или от внедряване на допълнителни нива на сигурност за защита от атаки.

Препоръчаният модел за замяна е аналогов телефонен адаптер Cisco ATA 190 Series, за който е определена дата на изтичане на експлоатационния срок 31 март 2024 г.

Компанията не знае за случаи на активна експлоатация на CVE-2023-20136 в дивата природа, но това може да се промени във всеки един момент, така че съветваме администраторите спешно да вземат подходящи предпазни мерки.
Критичните по тежест недостатъци на някога популярни устройства са потенциални възможности за използване в атаки, което може да доведе до мащабни инциденти със сигурността.

Източник: По материали от Интернет

Подобни публикации

5 декември 2023

СМС измамите - как да се предпазим

Получавали ли сте някога нежелано текстово съобщение, което обещава...
4 декември 2023

Ирански хакери превземат контролери на водни съ...

Критичната инфраструктура в няколко американски щата може да е била...
4 декември 2023

Рансъмуерът е безмилостен: какво можете да напр...

Не само, че броят на рансъмуерите се увеличава, но този вид зловред...
3 декември 2023

Свалянето на Qakbot: Смекчаване на последиците ...

Министерството на правосъдието на САЩ и ФБР наскоро си сътрудничиха...
2 декември 2023

Владимир Дунаев е осъден за създаването на злов...

Министерството на правосъдието на САЩ обяви, че руски гражданин е п...
2 декември 2023

Клиентите на онлайн туристическата агенция Book...

Една от най-големите онлайн туристически агенции в света – Booking....
2 декември 2023

Националната ядрена лаборатория на Айдахо е бил...

Националната лаборатория на Айдахо (INL), една от 17-те национални ...
1 декември 2023

Енергийни смущения, свързани с киберсигурността

Експерти по сигурността предупреждават, че операторите на петролни ...
30 ноември 2023

Microsoft започва тестване на новата функция за...

Microsoft започна да тества нова функция на Windows 11 Energy Saver...
Бъдете социални
Още по темата
26/11/2023

3 критични уязвимости излаг...

Поддържащите софтуера с отворен код за...
21/11/2023

Изследователи извличат RSA ...

Екип от академични изследователи от университети...
18/11/2023

Грешка кара процесорите на ...

Intel отстрани високосериозен недостатък, открит в...
Последно добавени
05/12/2023

СМС измамите - как да се пр...

Получавали ли сте някога нежелано текстово...
04/12/2023

Ирански хакери превземат ко...

Критичната инфраструктура в няколко американски щата...
04/12/2023

Рансъмуерът е безмилостен: ...

Не само, че броят на рансъмуерите...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!