Компания Cisco предупреждает о многочисленных критических уязвимостях «нулевого дня» удаленного выполнения кода в веб-интерфейсе управления устаревших IP-телефонов Small Business серий SPA 300 и SPA 500.
Производитель не выпустил исправлений для этих устройств и не поделился советами по их устранению, поэтому пользователям этих продуктов придется как можно скорее перейти на более новые и активно поддерживаемые модели.
Подробности об уязвимости
Cisco раскрыла пять уязвимостей, три из которых оцениваются как критические (CVSS v3.1 score: 9.8), а две – как высокосерьезные (CVSS v3.1 score: 7.5).
Критические уязвимости отслеживаются как CVE-2024-20450, CVE-2024-20452 и CVE-2024-20454.
Эти уязвимости переполнения буфера позволяют удаленному злоумышленнику, не прошедшему аутентификацию, выполнить произвольные команды на базовой ОС с привилегиями root, отправив специально сформированный HTTP-запрос на целевое устройство.
«Успешная эксплуатация может позволить злоумышленнику переполнить внутренний буфер и выполнить произвольные команды на уровне привилегий root»
- предупреждает Cisco
Два дефекта высокой степени серьезности – CVE-2024-20451 и CVE-2024-20453. Они вызваны неадекватной проверкой HTTP-пакетов, что позволяет вредоносным пакетам вызвать отказ в обслуживании на пораженном устройстве.
Cisco отмечает, что все пять дефектов затрагивают все выпуски программного обеспечения для IP-телефонов SPA 300 и SPA 500 вне зависимости от их конфигурации и не зависят друг от друга, то есть могут быть использованы по отдельности.
Конец поддержки
По данным портала поддержки Cisco, SPA 300 в последний раз продавался заказчикам в феврале 2019 года и завершил свою поддержку через три года, в феврале 2022 года.
Что касается SPA 500, то производитель прекратил продажи оборудования в тот же день, когда закончилась его поддержка – 1 июня 2020 года.
Следует отметить, что Cisco продолжает поддерживать SPA 500 до 31 мая 2025 года для владельцев сервисных контрактов или специальных гарантийных условий, но SPA 300 не поддерживается с 29 февраля 2024 года.
Ни один из этих телефонов не получит обновления безопасности, поэтому пользователям рекомендуется перейти на более новые поддерживаемые модели, такие как Cisco IP Phone 8841 или модель из серии Cisco 6800.
Cisco также предлагает программу Technology Migration Program (TMP), которая позволяет клиентам сдать соответствующие продукты и получить кредит на новое оборудование.
Тем, кто не уверен в своих возможностях, рекомендуется обратиться в центр технической помощи Cisco (TAC).
Комментарии (0)