Cisco, Cisco SPA112 2 Bağlantı Noktalı Telefon Adaptörlerinin web tabanlı yönetim arayüzünde, kimliği doğrulanmamış, uzaktaki bir saldırganın cihazlarda rasgele kod yürütmesine izin veren bir güvenlik açığını açıkladı.
CVE-2023-20126 olarak izlenen ve 9,8 “kritik” CVSS puanına sahip olan bu güvenlik açığı, üretici yazılımı yükseltme işlevindeki eksik bir kimlik doğrulama sürecinden kaynaklanmaktadır.
Cisco’nun güvenlik bülteninde, “Bir saldırgan, etkilenen bir cihazı hazırlanmış bir üretici yazılımı sürümüne yükselterek bu güvenlik açığından yararlanabilir” diyor.
“Başarılı bir istismar, saldırganın etkilenen cihazda tam ayrıcalıklarla rasgele kod yürütmesine izin verebilir.”
Bu telefon adaptörleri, analog telefonları yükseltmeden VoIP ağlarına dahil etmek için sektörde popüler bir seçimdir.
Bu bağdaştırıcılar birçok kuruluşta kullanılabilse de, büyük olasılıkla İnternet’e maruz kalmazlar, bu da bu kusurları çoğunlukla yerel ağdan yararlanılabilir hale getirir.
Bununla birlikte, güvenlik yazılımları genellikle bu tür cihazları izlemediğinden, bu cihazlara erişim elde etmek, bir tehdit aktörünün tespit edilmeden bir ağ üzerinde yanal olarak yayılmasına yardımcı olabilir.
Cisco SPA112 kullanım ömrünün sonuna geldiği için artık satıcı tarafından desteklenmemektedir ve bir güvenlik güncellemesi almayacaktır. Ayrıca Cisco, CVE-2023-20136 için herhangi bir hafifletme sağlamamıştır.
Cisco’nun güvenlik bülteni, etkilenen telefon adaptörlerini değiştirme veya bunları saldırılardan korumak için ek güvenlik katmanları uygulama ihtiyacı konusunda farkındalığı artırmayı amaçlıyor.
Önerilen değiştirme modeli, 31 Mart 2024 tarihinde belirlenmiş bir kullanım ömrü sonu tarihi olan Cisco ATA 190 Serisi Analog Telefon Adaptörüdür.
Şirket, CVE-2023-20136’nın vahşi ortamda herhangi bir aktif istismar örneğinden haberdar değildir, ancak bu her an değişebilir, bu nedenle yöneticilerin uygun önlemleri acilen almaları önerilir.
Bir zamanlar popüler olan cihazlardaki kritik önem derecesindeki kusurlar, potansiyel olarak büyük ölçekli güvenlik olaylarına yol açan saldırılarda kullanılmaya adaydır.