Cisco, kimliği doğrulanmamış ve uzak saldırganların uzaktan kod yürütme (RCE) saldırılarında yararlanabileceği, birden fazla IP Telefonu modelinin Web Kullanıcı Arayüzünde bulunan kritik bir güvenlik açığını ele aldı.
RCE kusuru (CVE-2023-20078), saldırganların, başarılı bir istismarın ardından kök ayrıcalıklarıyla yürütülecek rasgele komutlar enjekte etmesine olanak tanır.
Cisco bugün yaptığı açıklamada, “Başarılı bir istismar, saldırganın etkilenen bir cihazın temel işletim sistemi üzerinde rasgele komutlar yürütmesine izin verebilir” dedi.
Şirket ayrıca bugün hizmet reddi (DoS) koşullarını tetiklemek için kötüye kullanılabilecek ikinci bir yüksek önem dereceli güvenlik açığını (CVE-2023-20079) açıkladı.
Her iki hata da kullanıcı tarafından sağlanan girdinin yetersiz doğrulanmasından kaynaklanmaktadır ve hedeflenen cihazın web tabanlı yönetim arayüzüne gönderilen kötü amaçlarla oluşturulmuş istekler kullanılarak kötüye kullanılabilir.
Güvenlik açıkları, dahili güvenlik testi sırasında Cisco Advanced Security Initiatives Group’tan (ASIG) Zack Sanchez tarafından keşfedildi.
Etkilenen cihazların listesi, Çoklu Platform Ürün Yazılımına (hem RCE hem de DoS saldırılarına karşı savunmasız) sahip Cisco IP Phone 6800, 7800 ve 8800 serisi cihazları ve Çoklu Platform Ürün Yazılımına sahip Birleşik IP Konferans Telefonu 8831, Birleşik IP Konferans Telefonu 8831 ve Birleşik IP’yi içerir. Telefon 7900 Serisi (yalnızca DoS saldırılarına açıktır).
Şirketin Ürün Güvenliği Olay Müdahale Ekibi (PSIRT), saldırılarda bu güvenlik açığından yararlanma girişimlerine dair kanıt görmediğini ekledi.
Hizmet reddi güvenlik açığı yamalanmamış durumda
Cisco, CVE-2023-20078 RCE güvenlik açığını gidermek için güvenlik güncellemeleri yayınlarken, şirket CVE-2023-20079 DoS kusurunu düzeltmek için yamalar yayınlamayacağını söyledi.
Şirket, “Cisco Unified IP Phone 7900 Serisi ve Cisco Unified IP Konferans Telefonu 8831 kullanım ömrünün sonuna geldi” açıklamasını yaptı.
Cisco ayrıca Aralık ayında, 7800 ve 8800 Serisini çalıştıran Cisco IP Phone’ların Cisco Keşif Protokolü (CDP) işleme özelliğinde bulunan genel açıktan yararlanma koduyla birlikte yüksek öneme sahip sıfır gün güvenlik açığı (CVE-2022-20968) için yamalar yayınlayacağını duyurdu. bellenim.
CVE-2022-20968 için bir güvenlik güncellemesi henüz mevcut olmasa da yöneticilerin, saldırı vektörünü kaldırmak için Bağlantı Katmanı Keşif Protokolünü (LLDP) destekleyen etkilenen IP Telefon cihazlarında CDP’yi devre dışı bırakmaları önerilir.
Şubat 2020’de Cisco, toplu olarak CDPwn olarak bilinen ve potansiyel olarak on milyonlarca kurumsal cihazı etkileyen Cisco Discovery Protocol’deki diğer beş RCE ve DoS güvenlik açığını yamaladı.