シスコは、Cisco SPA112 2 ポート電話アダプタの Web ベースの管理インターフェイスに脆弱性を公開しました。これにより、認証されていないリモートの攻撃者がデバイス上で任意のコードを実行できるようになります。
CVE-2023-20126 として追跡され、「クリティカル」CVSS スコア 9.8 を持つこの脆弱性は、ファームウェア アップグレード機能内の認証プロセスが欠落していることが原因です。
「攻撃者は、影響を受けるデバイスを巧妙に細工されたバージョンのファームウェアにアップグレードすることにより、この脆弱性を悪用する可能性があります」とCisco のセキュリティ速報を読む
「エクスプロイトに成功すると、攻撃者は影響を受けるデバイス上で完全な権限を使用して任意のコードを実行できる可能性があります。」
これらの電話アダプタは、アナログ電話をアップグレードせずに VoIP ネットワークに組み込むための業界で一般的な選択肢です。
これらのアダプタは多くの組織で使用されている可能性がありますが、インターネットに公開されていない可能性が高いため、これらの欠陥は主にローカル ネットワークから悪用可能です。
ただし、セキュリティ ソフトウェアは通常、これらのタイプのデバイスを監視しないため、これらのデバイスへのアクセスを取得すると、攻撃者が検出されずにネットワーク上で横方向に拡散する可能性があります。
Cisco SPA112 は寿命に達したため、ベンダーによるサポートが終了し、セキュリティ アップデートは提供されません。また、シスコは CVE-2023-20136 に対する緩和策を提供していません。
シスコのセキュリティ速報は、影響を受ける電話アダプタを交換するか、攻撃から保護するために追加のセキュリティ レイヤを実装する必要があるという認識を高めることを目的としています。
推奨される代替モデルは、 2024 年 3 月 31 日にサポート終了日が指定されている Cisco ATA 190 シリーズ アナログ電話アダプタです。
同社は、実際に CVE-2023-20136 が実際に悪用された例を認識していませんが、これはいつでも変更される可能性があるため、管理者は適切な予防措置を緊急に講じることをお勧めします。
かつて普及していたデバイスの重大な重大度の欠陥は、攻撃に使用される可能性があり、大規模なセキュリティ インシデントにつながる可能性があります。
Comments