Cisco IP Telefon Serisindeki Kritik Kusur, Kullanıcıları Komut Enjeksiyon Saldırısına Maruz Bırakıyor


02 Mart 2023Ravie LakshmananKurumsal Güvenlik / Ağ Güvenliği

Cisco IP Telefonu

Çarşamba günü Cisco, IP Phone 6800, 7800, 7900 ve 8800 Serisi ürünlerini etkileyen kritik bir kusuru gidermek için güvenlik güncellemeleri yayınladı.

CVE-2023-20078 olarak izlenen güvenlik açığı, CVSS puanlama sisteminde 10 üzerinden 9,8 olarak derecelendirildi ve kullanıcı tarafından sağlanan girdinin yetersiz doğrulanması nedeniyle web tabanlı yönetim arayüzünde ortaya çıkan bir komut enjeksiyon hatası olarak tanımlanıyor.

Hatanın başarılı bir şekilde kullanılması, kimliği doğrulanmamış, uzaktaki bir saldırganın, temeldeki işletim sisteminde en yüksek ayrıcalıklarla yürütülen rasgele komutları enjekte etmesine izin verebilir.

Cisco, 1 Mart 2023’te yayınlanan bir uyarıda, “Bir saldırgan, web tabanlı yönetim arabirimine hazırlanmış bir istek göndererek bu güvenlik açığından yararlanabilir” dedi.

Ayrıca şirket tarafından yamalanan, aynı cihaz grubunun yanı sıra Cisco Unified IP Conference Phone 8831 ve Unified IP Phone 7900 Serisini etkileyen yüksek önem dereceli bir hizmet reddi (DoS) güvenlik açığıdır.

Yine web tabanlı yönetim arabiriminde kullanıcı tarafından sağlanan girdinin yetersiz doğrulanmasının bir sonucu olan CVE-2023-20079 (CVSS puanı: 7.5), bir DoS durumuna neden olacak şekilde bir düşman tarafından kötüye kullanılabilir.

Cisco, CVE-2023-20078’i çözmek için Cisco Multiplatform Firmware sürüm 11.3.7SR1’i yayınlamış olsa da şirket, her iki Birleşik IP Konferans Telefonu modelinin de kullanım ömrünün sonuna girmesi nedeniyle CVE-2023-20079’u düzeltmeyi planlamadığını söyledi ( EoL).

Şirket, kusuru hedefleyen herhangi bir kötü niyetli istismar girişiminin farkında olmadığını söyledi. Ayrıca, iç güvenlik testleri sırasında kusurların keşfedildiğini söyledi.

Danışmanlık belgesi, Hewlett Packard Enterprise’ın bir yan kuruluşu olan Aruba Networks’ün birden fazla kimliği doğrulanmamış komut enjeksiyonu ve yığın tabanlı arabellek taşması kusurlarını (CVE-2023-22747’den CVE-2023-22752’ye, CVSS puanları: 9,8) düzeltmek için bir ArubaOS güncellemesi yayınlamasıyla geldi. ) kod yürütülmesine neden olabilir.

Bu makaleyi ilginç buldunuz mu? Bizi takip edin twitter ve yayınladığımız daha özel içerikleri okumak için LinkedIn.





Source link