Компания Cisco предупреждает о критической уязвимости в веб-интерфейсе двухпортовых телефонных адаптеров SPA112. Проблема позволяет удаленному неаутентифицированному злоумышленнику выполнить произвольный код. Так как срок поддержки Cisco SPA112 уже подошел к концу, выхода обновлений можно не ждать.
Свежая уязвимость получила идентификатор CVE-2023-20126 и статус «критической» (9,8 балла из 10 возможных по шкале CVSS). Разработчики сообщают, что проблема связана с отсутствием процесса аутентификации в функции обновления прошивки.
«Злоумышленник может воспользоваться этой уязвимостью, обновив прошивку уязвимого устройства на модифицированную. Успешная эксплуатация может позволить злоумышленнику выполнить произвольный код на уязвимом устройстве с полными привилегиями», — гласит официальный бюллетень безопасности.
Нужно сказать, что такие телефонные адаптеры являются весьма популярным решением для подключения аналоговых телефонов к VoIP. Хотя такие адаптеры могут использоваться во многих организациях, они, скорее всего, не подключены к интернету, то есть уязвимость получится эксплуатировать разве что из локальной сети. Тем не менее, уязвимые устройства могут помочь злоумышленниками проникнуть в сеть незамеченными, поскольку защитное ПО обычно не отслеживает такие типы устройств.
Поскольку срок поддержки Cisco SPA112 истек в 2020 году, устройства более не поддерживаются производителем и не получают обновлений безопасности. В своем бюллетене Cisco не предлагает никаких способов защиты от CVE-2023-20126. Фактически бюллетень производителя направлен лишь на повышение осведомленности, а также напоминает компаниями о необходимости замены устаревших телефонных адаптеров и внедрения дополнительных уровней безопасности.
Свежая уязвимость получила идентификатор CVE-2023-20126 и статус «критической» (9,8 балла из 10 возможных по шкале CVSS). Разработчики сообщают, что проблема связана с отсутствием процесса аутентификации в функции обновления прошивки.
«Злоумышленник может воспользоваться этой уязвимостью, обновив прошивку уязвимого устройства на модифицированную. Успешная эксплуатация может позволить злоумышленнику выполнить произвольный код на уязвимом устройстве с полными привилегиями», — гласит официальный бюллетень безопасности.
Нужно сказать, что такие телефонные адаптеры являются весьма популярным решением для подключения аналоговых телефонов к VoIP. Хотя такие адаптеры могут использоваться во многих организациях, они, скорее всего, не подключены к интернету, то есть уязвимость получится эксплуатировать разве что из локальной сети. Тем не менее, уязвимые устройства могут помочь злоумышленниками проникнуть в сеть незамеченными, поскольку защитное ПО обычно не отслеживает такие типы устройств.
Поскольку срок поддержки Cisco SPA112 истек в 2020 году, устройства более не поддерживаются производителем и не получают обновлений безопасности. В своем бюллетене Cisco не предлагает никаких способов защиты от CVE-2023-20126. Фактически бюллетень производителя направлен лишь на повышение осведомленности, а также напоминает компаниями о необходимости замены устаревших телефонных адаптеров и внедрения дополнительных уровней безопасности.
