Η Cisco προειδοποιεί για πολλά κρίσιμα RCE zero-days, στη διεπαφή διαχείρισης που βασίζεται στο web των τηλεφώνων IP Small Business SPA 300 και SPA 500, που βρίσκονται στο τέλος του κύκλου ζωής τους.
Δείτε επίσης: Η Google διορθώνει zero-day στον πυρήνα Android που επέτρεπε επιθέσεις
Ο προμηθευτής δεν έχει διαθέσει διορθώσεις για αυτές τις συσκευές και δεν μοιράστηκε συμβουλές μετριασμού, επομένως οι χρήστες αυτών των προϊόντων θα πρέπει να μετακινηθούν σε νεότερα και ενεργά υποστηριζόμενα μοντέλα το συντομότερο δυνατό.
Η Cisco έχει αποκαλύψει πέντε ελαττώματα, τρία κρίσιμα (βαθμολογία CVSS v3.1: 9,8) και δύο υψηλής σοβαρότητας (βαθμολογία CVSS v3.1: 7,5). Τα κρίσιμα ελαττώματα παρακολουθούνται ως CVE-2024-20450, CVE-2024-20452 και CVE-2024-20454.
Αυτά τα ελαττώματα buffer overflow επιτρέπουν σε έναν μη επαληθευμένο, απομακρυσμένο εισβολέα να εκτελεί αυθαίρετες εντολές στο υποκείμενο λειτουργικό σύστημα με δικαιώματα root, στέλνοντας ένα ειδικά διαμορφωμένο αίτημα HTTP στη συσκευή-στόχο.
Τα δύο RCE zero-days υψηλής σοβαρότητας είναι τα CVE-2024-20451 και CVE-2024-20453. Οφείλονται σε ανεπαρκείς ελέγχους σε πακέτα HTTP, που επιτρέπουν σε κακόβουλα πακέτα να προκαλέσουν άρνηση εξυπηρέτησης στη συσκευή που επηρεάζεται.
Η Cisco σημειώνει ότι και τα πέντε ελαττώματα επηρεάζουν όλες τις εκδόσεις λογισμικού που εκτελούνται σε τηλέφωνα IP SPA 300 και SPA 500 ανεξάρτητα από τη διαμόρφωσή τους και είναι ανεξάρτητα μεταξύ τους, πράγμα που σημαίνει ότι μπορούν να χρησιμοποιηθούν μεμονωμένα.
Δείτε ακόμα: MHTML: Zero-day ευπάθεια χρησιμοποιούνταν σε επιθέσεις για 18 μήνες
Σύμφωνα με την πύλη υποστήριξης της Cisco, το SPA 300 πωλήθηκε τελευταία φορά σε πελάτες τον Φεβρουάριο του 2019 και έφτασε στο τέλος της υποστήριξής του τρία χρόνια αργότερα, τον Φεβρουάριο του 2022. Όσον αφορά το SPA 500, ο πωλητής σταμάτησε να πουλά το υλικό την ίδια ημερομηνία που έφτασε στο τέλος της υποστήριξής του, την 1η Ιουνίου 2020.
Θα πρέπει να σημειωθεί ότι η Cisco εξακολουθεί να καλύπτει το SPA 500 έως τις 31 Μαΐου 2025 για κατόχους συμβάσεων παροχής υπηρεσιών ή ειδικών όρων εγγύησης, αλλά το SPA 300 δεν καλύπτεται από τις 29 Φεβρουαρίου 2024.
Κανένα από τα δύο δεν θα λάβει ενημέρωση ασφαλείας για τα RCE zero-days, επομένως συνιστάται στους χρήστες να μεταβούν σε νεότερα, υποστηριζόμενα μοντέλα, όπως το Cisco IP Phone 8841 ή ένα μοντέλο από τη σειρά Cisco 6800.
Η Cisco προσφέρει επίσης ένα Πρόγραμμα Μετανάστευσης Τεχνολογίας (TMP), το οποίο επιτρέπει στους πελάτες να συναλλάσσονται με επιλέξιμα προϊόντα και να λαμβάνουν πίστωση για νέο εξοπλισμό.
Όσοι δεν είναι σίγουροι για τις επιλογές τους, συνιστάται να επικοινωνήσουν με το Κέντρο Τεχνικής Βοήθειας (TAC) της Cisco.
Δείτε επίσης: kvmCTF: Το νέο VRP πρόγραμμα της Google για εύρεση zero-day ευπαθειών KVM
Τα Zero-days είναι ελαττώματα ασφαλείας στο λογισμικό, που ανακαλύπτονται από τους εισβολείς προτού ο προμηθευτής έχει την ευκαιρία να εκδώσει μια επιδιόρθωση. Ο όρος “zero-day” αναφέρεται στο γεγονός ότι οι προγραμματιστές έχουν μηδέν ημέρες για να αντιμετωπίσουν την ευπάθεια, αφήνοντας τους χρήστες εκτεθειμένους σε πιθανή εκμετάλλευση. Αυτά τα τρωτά σημεία μπορεί να οδηγήσουν σε σημαντικά συμβάντα ασφαλείας, συμπεριλαμβανομένων των παραβιάσεων δεδομένων και της μη εξουσιοδοτημένης πρόσβασης στο σύστημα. Οι οργανισμοί πρέπει να επαγρυπνούν μέσω τακτικών ενημερώσεων λογισμικού, παρακολούθησης απειλών και ενσωμάτωσης βέλτιστων πρακτικών ασφαλείας για προστασία από αυτές τις άπιαστες απειλές.
Πηγή: bleepingcomputer
