Cisco, Küçük İşletme SPA300 ve SPA500 Serisi IP Telefonlarını etkileyen birden fazla kritik güvenlik açığını açıkladı. Bu açıklar, saldırganların kök ayrıcalıklarıyla keyfi komutlar yürütmesine veya hizmet reddi koşullarına neden olmasına olanak tanıyor.
Bu cihazların web tabanlı yönetim arayüzünde, CVE-2024-20450, CVE-2024-20451, CVE-2024-20452, CVE-2024-20453 ve CVE-2024-20454 CVE tanımlayıcıları atanan kusurlar bulunmaktadır.
En ciddi güvenlik açıkları (CVE-2024-20450, CVE-2024-20452 ve CVE-2024-20454), kimliği doğrulanmamış, uzak bir saldırganın, kök ayrıcalıklarına sahip temel işletim sisteminde keyfi komutlar yürütmesine olanak tanıyabilir.
Bu kusurlar, gelen HTTP paketlerinin uygunsuz hata kontrolünden kaynaklanır ve bu da bir arabellek taşmasına neden olabilir. Bir saldırgan, etkilenen bir cihaza hazırlanmış bir HTTP isteği göndererek bunu istismar edebilir.
Are you from SOC and DFIR Teams? Analyse Malware Incidents & get live Access with ANY.RUN -> Get 14 Days Free Access
CVE-2024-20451 ve CVE-2024-20453 ayrıca kimliği doğrulanmamış, uzak bir saldırganın etkilenen cihazın beklenmedik şekilde yeniden yüklenmesine neden olarak hizmet reddi (DoS) durumuna yol açmasına da olanak tanıyabilir.
Güvenlik açıklarına Kritik önem derecesi atandı; keyfi komut yürütme kusurları için CVSS Taban Puanı 9,8, DoS açıkları için ise 7,5 oldu.
Cisco, etkilenen ürünlerin kullanım ömrü sonuna girmesi nedeniyle bu güvenlik açıklarını gidermek için yazılım güncellemeleri yayınlamayacağını belirtti. Şirket, müşterilere bu ürünler için kullanım ömrü sonu bildirimlerine bakmalarını ve cihaz geçişini değerlendirmelerini öneriyor.
Bu güvenlik açıklarını gidermek için şu anda hiçbir geçici çözümün bulunmadığını belirtmek önemlidir. Cisco Small Business SPA300 ve SPA500 Serisi IP Telefonları kullanan kuruluşlar risklerini değerlendirmeli ve bu cihazları desteklenen alternatiflerle değiştirmeyi düşünmelidir.
BAE Systems Digital Intelligence’dan Aidan, güvenlik açıklarını Cisco’ya bildirdi. Cisco şu anda, bu güvenlik açıklarının vahşi ortamda herhangi bir kamu duyurusundan veya kötü amaçlı kullanımından haberdar değil.
Download Free Cybersecurity Planning Checklist for SME Leaders (PDF) – Free Download