Cisco, SPA112 2 Bağlantı Noktalı Telefon Adaptörlerinde, uzaktaki bir saldırgan tarafından etkilenen cihazlarda rastgele kod yürütmek için kullanılabileceğini söylediği kritik bir güvenlik açığı konusunda uyarıda bulundu.
Sorun, şu şekilde izlenir: CVE-2023-20126, CVSS puanlama sisteminde maksimum 10 üzerinden 9,8 olarak derecelendirilmiştir. Şirket, eksikliği bildirdiği için DBappSecurity’den Catalpa’ya itibar etti.
Söz konusu ürün, yükseltme gerektirmeden analog telefon ve faks makinelerini bir VoIP servis sağlayıcısına bağlamayı mümkün kılmaktadır.
Şirket bir bültende, “Bu güvenlik açığı, üretici yazılımı yükseltme işlevindeki eksik bir kimlik doğrulama sürecinden kaynaklanmaktadır” dedi.
“Bir saldırgan, etkilenen bir cihazı hazırlanmış bir üretici yazılımı sürümüne yükselterek bu güvenlik açığından yararlanabilir. Başarılı bir istismar, saldırganın etkilenen cihazda tam ayrıcalıklarla rasgele kod yürütmesine izin verebilir.”
Ağ ekipmanı üreticisi, kusurun ciddiyetine rağmen, cihazların 1 Haziran 2020 itibarıyla kullanım ömrünün sonuna (EoL) gelmesi nedeniyle düzeltmeleri yayınlamayı düşünmediğini söyledi.
Bunun yerine kullanıcıların, son güncellemesini 31 Mart 2024’te alacak olan Cisco ATA 190 Serisi Analog Telefon Adaptörüne geçmeleri öneriliyor. Kusurun vahşi doğada kötü niyetli olarak kullanıldığına dair hiçbir kanıt yok.