Η Cisco αποκάλυψε μια ευπάθεια στη web-based διεπαφή διαχείρισης του Cisco SPA112 2-Port Phone Adapters, η οποία επιτρέπει σε έναν μη εξουσιοδοτημένο, απομακρυσμένο εισβολέα να εκτελέσει αυθαίρετο κώδικα στις συσκευές.
Με την ονομασία CVE-2023-20126 και με βαθμολογία CVSS “critical” 9,8, η ευπάθεια αυτή προκαλείται από μια ελλιπή διαδικασία ελέγχου ταυτότητας στο πλαίσιο της λειτουργίας αναβάθμισης υλικολογισμικού.
Δείτε επίσης: Η Cisco αποκαλύπτει XSS zero-day ευπάθεια στο εργαλείο server management
“Ένας εισβολέας θα μπορούσε να εκμεταλλευτεί αυτή την ευπάθεια αναβαθμίζοντας μια επηρεασμένη συσκευή σε μια τροποποιημένη έκδοση firmware”, αναφέρει το δελτίο ασφαλείας της Cisco.
“Μια επιτυχής εκμετάλλευση θα μπορούσε να επιτρέψει στον εισβολέα να εκτελέσει αυθαίρετο κώδικα στην επηρεασμένη συσκευή με πλήρη προνόμια.”
Αυτοί οι αντάπτορες τηλεφώνου αποτελούν δημοφιλή επιλογή στη βιομηχανία για την ενσωμάτωση αναλογικών τηλεφώνων σε δίκτυα VoIP χωρίς αναβάθμιση.
Ενώ αυτοί οι προσαρμογείς μπορεί να χρησιμοποιούνται σε πολλούς οργανισμούς, είναι πιθανό να μην είναι εκτεθειμένοι στο διαδίκτυο, καθιστώντας αυτά τα ελαττώματα εκμεταλλεύσιμα κυρίως από το τοπικό δίκτυο.
Ωστόσο, η απόκτηση πρόσβασης σε αυτές τις συσκευές θα μπορούσε να βοηθήσει έναν hacker να εξαπλωθεί πλαγίως σε ένα δίκτυο χωρίς να εντοπιστεί, καθώς το λογισμικό ασφαλείας δεν παρακολουθεί συνήθως αυτούς τους τύπους συσκευών.
Πρόταση: Το Mirai malware εκμεταλλεύεται ευπάθεια στο router WiFi TP-Link Archer
Δεδομένου ότι το Cisco SPA112 έχει φτάσει στο τέλος της ζωής του, δεν υποστηρίζεται πλέον από τον προμηθευτή και δεν θα λάβει ενημέρωση ασφαλείας. Επίσης, η Cisco δεν έχει προσφέρει περιορισμούς για το CVE-2023-20126.
Το δελτίο ασφαλείας της Cisco αποσκοπεί στην ευαισθητοποίηση σχετικά με την ανάγκη αντικατάστασης των επηρεαζόμενων αντάπτορων τηλεφώνου ή την εφαρμογή πρόσθετων επιπέδων ασφαλείας για την προστασία τους από επιθέσεις.
Το συνιστώμενο μοντέλο αντικατάστασης είναι ο αναλογικός τηλεφωνικός προσαρμογέας Cisco ATA 190 Series, ο οποίος έχει καθορισμένη ημερομηνία λήξης ζωής στις 31 Μαρτίου 2024.
Η εταιρεία δεν γνωρίζει καμία περίπτωση ενεργής εκμετάλλευσης του CVE-2023-20126 στην αγορά, αλλά αυτό μπορεί να αλλάξει ανά πάσα στιγμή, οπότε οι διαχειριστές καλούνται να λάβουν επειγόντως τις κατάλληλες προφυλάξεις.
Κρίσιμης σοβαρότητας ελαττώματα σε κάποτε δημοφιλείς συσκευές είναι οι πιθανοί υποψήφιοι για χρήση σε επιθέσεις, οδηγώντας ενδεχομένως σε περιστατικά ασφαλείας μεγάλης κλίμακας.
Διαβάστε επίσης: QNAP: Προειδοποιεί για Linux Sudo ευπάθεια σε NAS συσκευές
πηγή πληροφοριών:bleepingcomputer.com
