1 марта Cisco выпустила обновления безопасности для устранения критической уязвимости, влияющей на её IP-телефоны серий 6800, 7800, 7900 и 8800.
Уязвимость, отслеживаемая под идентификатором CVE-2023-20078, имеет рейтинг 9,8 из 10 в системе оценки CVSS и описывается как “ошибка внедрения команды в веб-интерфейсе управления, возникающая из-за недостаточной проверки введенных пользователем данных”. Успешное использование данной уязвимости может позволить удаленному неавторизованному злоумышленнику выполнять произвольные команды с наивысшими привилегиями в базовой операционной системе.
Cisco также исправила DoS-уязвимость высокой степени критичности, затрагивающую тот же набор устройств, а также унифицированный IP-телефон для конференц-связи Cisco 8831 и унифицированный IP-телефон 7900.
Уязвимость CVE-2023-20079 (CVSS: 7,5), также являющаяся результатом недостаточной проверки введенных пользователем данных в веб-интерфейсе управления, тоже может быть использована киберпреступниками для проведения DoS-атак.
Несмотря на то, что Cisco выпустила многоплатформенное микропрограммное обеспечение версии 11.3.7SR1 для устранения CVE-2023-20078, компания заявила, что не планирует исправлять уязвимость CVE-2023-20079, поскольку срок службы обеих моделей унифицированных IP-телефонов для конференц-связи уже истёк. Напомним, компания довольно часто не желает устранять уязвимости в старом оборудовании, мотивируя своих клиентов приобретать новые устройства.
Как сообщается , обе уязвимости были обнаружены во время внутреннего тестирования безопасности Cisco, и хакеры ещё не успели применить их в реальных атаках.