Cisco, ömrünü tamamlamış Small Business SPA 300 ve SPA 500 serisi IP telefonlarının web tabanlı yönetim arayüzünde birden fazla kritik uzaktan kod yürütme sıfır-gün açığı konusunda uyarıyor.
Üretici bu cihazlar için herhangi bir düzeltme yayınlamadı ve herhangi bir azaltma ipucu paylaşmadı, dolayısıyla bu ürünleri kullananların mümkün olan en kısa sürede daha yeni ve aktif olarak desteklenen modellere geçmeleri gerekecek.
Güvenlik açığı detayları
Cisco beş açığı açıkladı, üçü kritik (CVSS v3.1 puanı: 9,8) ve ikisi yüksek şiddette kategorize edildi (CVSS v3.1 puanı: 7,5).
Kritik güvenlik açıkları CVE-2024-20450, CVE-2024-20452 ve CVE-2024-20454 olarak izleniyor.
Bu arabellek taşması güvenlik açıkları, kimliği doğrulanmamış uzak bir saldırganın hedef cihaza özel hazırlanmış bir HTTP isteği göndererek, temel işletim sisteminde kök ayrıcalıklarına sahip keyfi komutlar yürütmesine olanak tanır.
Cisco bültende, “Başarılı bir istismar, saldırganın dahili bir arabelleği taşmasına ve kök ayrıcalık düzeyinde keyfi komutlar yürütmesine olanak tanıyabilir” uyarısında bulunuyor.
İki yüksek öneme sahip kusur CVE-2024-20451 ve CVE-2024-20453’tür. Bunlar, kötü amaçlı paketlerin etkilenen cihazda hizmet reddi oluşturmasına izin veren HTTP paketlerindeki yetersiz denetimlerden kaynaklanır.
Cisco, beş kusurun da SPA 300 ve SPA 500 IP telefonlarında çalışan tüm yazılım sürümlerini, yapılandırmalarından bağımsız olarak etkilediğini ve birbirlerinden bağımsız olduklarını, yani her birinin ayrı ayrı istismar edilebileceğini belirtiyor.
Desteğin sonu
Cisco’nun destek portalına göre SPA 300, müşterilere en son Şubat 2019’da satıldı ve üç yıl sonra, Şubat 2022’de desteği sona erdi.
SPA 500 için satıcı, destek süresinin sona erdiği 1 Haziran 2020 tarihinde donanımı satmayı bıraktı.
Cisco’nun 31 Mayıs 2025’e kadar servis sözleşmesi veya özel garanti şartlarına sahip olanlar için SPA 500’ü kapsamaya devam ettiğini, ancak SPA 300’ün 29 Şubat 2024’ten bu yana kapsam dışında olduğunu belirtmek gerekir.
Her ikisi de güvenlik güncelleştirmesi almayacak, bu nedenle kullanıcıların Cisco IP Phone 8841 veya Cisco 6800 serisinden bir model gibi daha yeni, desteklenen modellere geçiş yapmaları öneriliyor.
Cisco ayrıca müşterilerin uygun ürünleri takas etmelerine ve yeni ekipmanlar için kredi almalarına olanak tanıyan bir Teknoloji Göç Programı (TMP) da sunuyor.
Seçenekleri konusunda emin olmayanların Cisco Teknik Destek Merkezi’ne (TAC) başvurmaları önerilir.