思科电话适配器易受 RCE 攻击,目前无修复方案
编译:代码卫士
思科披露了 SPA112 2-Port 电话适配器 web 管理接口中的一个漏洞 (CVE-2023-20126),它可导致未认证远程攻击者在设备上执行任意代码。
该漏洞是严重级别的漏洞,CVSS评分为9.8,是由固件升级功能中缺少认证流程导致的。思科在安全通告中提到,“攻击者可将受影响设备升级至构造固件版本,利用该漏洞。成功利用该漏洞可导致攻击者以完全权限在受影响设备上执行任意代码。”
这些电话适配器非常受欢迎,无需升级即将模拟电话机集成到 VoIP 网络中。虽然这些适配器可能用于很多组织机构中,但可能不会暴露到互联网,导致这些漏洞基本可从本地网络遭利用。然而,获得对这些设备的访问权限有助于攻击者在无需检测的情况下在网络中横向移动,因为安全软件一般不会监控这类设备。
鉴于思科 SPA112 已达生命周期,因此已经不再受支持且不会收到安全更新。同时思科并未提供相关缓解措施。
思科安全通告旨在提醒用户替换受影响的电话适配器或者执行额外安全层,以免受攻击。推荐的替换型号是思科 ATA 190系列模拟电话适配器,它将于2024年3月31日到期。
思科并未发现该漏洞遭在野利用的实例,不过情况可能随时变化,因此建议管理员尽快采取适当的预防措施。热门设备上的严重漏洞是攻击者的潜在候选目标,可能导致大规模的安全事件发生。
https://www.bleepingcomputer.com/news/security/cisco-phone-adapters-vulnerable-to-rce-attacks-no-fix-available/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。