Компания Cisco обнаружила уязвимость в веб-интерфейсе управления адаптера для VoIP-телефонии Cisco SPA112, которая позволяет удаленному злоумышленнику выполнять произвольный код на уязвимом устройстве.
Критическая RCE-уязвимость CVE-2023-20126(CVSS: 9.8) вызвана отсутствием процесса аутентификации в функции обновления прошивки. Злоумышленник может использовать недостаток, обновив уязвимое устройство до специально созданной версии прошивки. Успешный эксплойт позволяет хакеру, не прошедшему проверку подлинности, выполнить произвольный код на уязвимом устройстве с полными привилегиями.
Телефонные адаптеры Cisco SPA112 очень популярны для использования в сети VoIP без модернизации. Хотя эти адаптеры могут использоваться во многих организациях, они, скорее всего, не подключены к Интернету. Это значит, что уязвимость можно эксплуатировать только из локальной сети.
Однако получение доступа к этим устройствам может помочь злоумышленнику незаметно перемещаться по сети, поскольку средства безопасности обычно не отслеживают такие типы устройств.
Ситуацию усиливает ещё то, что Cisco SPA112 больше не поддерживается поставщиком и не будет получать обновления. Кроме того, Cisco не предоставила никаких мер защиты для CVE-2023-20136.
В бюллетене по безопасности Cisco говорит о необходимости замены затронутых телефонных адаптеров или внедрения дополнительных уровней безопасности для защиты от атак. Рекомендуемой моделью для замены является аналоговый телефонный адаптер Cisco ATA 190, срок службы которого истекает 31 марта 2024 года .
Компании не известно о каких-либо случаях активной эксплуатации CVE-2023-20136 в дикой природе, но это может измениться в любое время, поэтому администраторам рекомендуется срочно принять соответствующие меры предосторожности. Критические недостатки в уже неподдерживаемых популярных устройствах являются потенциальными кандидатами для использования в атаках, что может привести к крупномасштабным инцидентам безопасности.