✔В телефонных адаптерах Cisco не будет исправлена критическая уязвимость - «Новости»

10 мая 2023 770 Новости / Изображения / Преимущества стилей / Отступы и поля / Типы носителей / Вёрстка / Текст 0

Свежая уязвимость получила идентификатор CVE-2023-20126 и статус «критической» (9,8 балла из 10 возможных по шкале CVSS). Разработчики сообщают, что проблема связана с отсутствием процесса аутентификации в функции обновления прошивки.

«Злоумышленник может воспользоваться этой уязвимостью, обновив прошивку уязвимого устройства на модифицированную. Успешная эксплуатация может позволить злоумышленнику выполнить произвольный код на уязвимом устройстве с полными привилегиями», — гласит официальный бюллетень безопасности.

Нужно сказать, что такие телефонные адаптеры являются весьма популярным решением для подключения аналоговых телефонов к VoIP. Хотя такие адаптеры могут использоваться во многих организациях, они, скорее всего, не подключены к интернету, то есть уязвимость получится эксплуатировать разве что из локальной сети. Тем не менее, уязвимые устройства могут помочь злоумышленниками проникнуть в сеть незамеченными, поскольку защитное ПО обычно не отслеживает такие типы устройств.

Поскольку срок поддержки Cisco SPA112 истек в 2020 году, устройства более не поддерживаются производителем и не получают обновлений безопасности. В своем бюллетене Cisco не предлагает никаких способов защиты от CVE-2023-20126. Фактически бюллетень производителя направлен лишь на повышение осведомленности, а также напоминает компаниями о необходимости замены устаревших телефонных адаптеров и внедрения дополнительных уровней безопасности.

Компания Cisco предупреждает о критической уязвимости в веб-интерфейсе двухпортовых телефонных адаптеров SPA112. Проблема позволяет удаленному неаутентифицированному злоумышленнику выполнить произвольный код. Так как срок поддержки Cisco SPA112 уже подошел к концу, выхода обновлений можно не ждать. Свежая уязвимость получила идентификатор CVE-2023-20126 и статус «критической» (9,8 балла из 10 возможных по шкале CVSS). Разработчики сообщают, что проблема связана с отсутствием процесса аутентификации в функции обновления прошивки. «Злоумышленник может воспользоваться этой уязвимостью, обновив прошивку уязвимого устройства на модифицированную. Успешная эксплуатация может позволить злоумышленнику выполнить произвольный код на уязвимом устройстве с полными привилегиями», — гласит официальный бюллетень безопасности. Нужно сказать, что такие телефонные адаптеры являются весьма популярным решением для подключения аналоговых телефонов к VoIP. Хотя такие адаптеры могут использоваться во многих организациях, они, скорее всего, не подключены к интернету, то есть уязвимость получится эксплуатировать разве что из локальной сети. Тем не менее, уязвимые устройства могут помочь злоумышленниками проникнуть в сеть незамеченными, поскольку защитное ПО обычно не отслеживает такие типы устройств. Поскольку срок поддержки Cisco SPA112 истек в 2020 году, устройства более не поддерживаются производителем и не получают обновлений безопасности. В своем бюллетене Cisco не предлагает никаких способов защиты от CVE-2023-20126. Фактически бюллетень производителя направлен лишь на повышение осведомленности, а также напоминает компаниями о необходимости замены устаревших телефонных адаптеров и внедрения дополнительных уровней безопасности.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.

Иллюстрация к статье - Яндекс. Картинки.

Есть вопросы. Напишите нам.

Общие правила поведения на сайте.