Cisco’nun PSIRT’si ayrıca, güvenlik açığı için kavram kanıtı istismar kodunun mevcut olduğunun ve kusurun kamuya açık bir şekilde tartışıldığının farkındadır, ancak bundan yararlanan aktif saldırıların farkında değildir.
CVE-2022-20968 hakkında
Cisco IP Phone 7800 ve 8800 Serisi, görüntülü ve sesli iletişim için kurumsal düzeyde cihazlardır. Birçok güvenlik özelliği, kullanıcıların onları çeşitli saldırılara karşı güçlendirmesine olanak tanır.
QI-ANXIN Group’taki Codesafe Legendsec Ekibinden güvenlik araştırmacısı Qian Chen tarafından bildirilen CVE-2022-20968, cihazların Cisco Keşif Protokolü işleme özelliğinde bulunuyor.
“Bu güvenlik açığı, alınan Cisco Keşif Protokolü paketlerinin yetersiz giriş doğrulamasından kaynaklanmaktadır. Bir saldırgan, etkilenen bir cihaza hazırlanmış Cisco Keşif Protokolü trafiği göndererek bu güvenlik açığından yararlanabilir” dedi.
Saldırganın önceden kimlik doğrulaması yapılmadan güvenlik açığından yararlanılabilir, ancak saldırı hedef cihazla aynı fiziksel veya mantıksal ağdan başlatılmalıdır (örn. Bluetooth, Wi-Fi, komşu keşif protokolü vb. aracılığıyla).
Geçici hafifletme, daha geniş dağıtımdan önce test edilmelidir
Kusur, IP Telefonu 7800 Serisinin tamamını ve Cisco Kablosuz IP Telefonu 8821 hariç IP Telefonu 8800 Serisindeki tüm cihazları etkiler. Ocak 2023’te ürün yazılımı v14.2(1)’in piyasaya sürülmesiyle düzeltilecektir.
“Bu güvenlik açığını gideren herhangi bir geçici çözüm yok. Ancak, komşu keşfi için hem Cisco Keşif Protokolünü hem de Bağlantı Katmanı Keşif Protokolünü (LLDP) destekleyen dağıtımlar için bu güvenlik açığını gideren bir hafifletme vardır. Yöneticiler, etkilenen IP Phone 7800 ve 8800 Serisi cihazlarda Cisco Keşif Protokolünü devre dışı bırakabilir. Cihazlar daha sonra sesli VLAN, güç anlaşması vb. gibi yapılandırma verilerinin keşfi için LLDP’yi kullanacak.”
“Bu azaltma uygulanmış ve bir test ortamında başarılı olduğu kanıtlanmış olsa da, müşteriler kendi ortamlarında ve kendi kullanım koşullarında uygulanabilirliği ve etkililiği belirlemelidir. Müşteriler, uygulanan herhangi bir geçici çözümün veya azaltmanın, içsel müşteri konuşlandırma senaryoları ve sınırlamalarına dayalı olarak ağlarının işlevselliğini veya performansını olumsuz etkileyebileceğinin farkında olmalıdır. Müşteriler, önce kendi ortamlarına uygulanabilirliği ve bu ortam üzerindeki herhangi bir etkiyi değerlendirmeden önce herhangi bir geçici çözüm veya hafifletme uygulamamalıdır.”