Ciscoは、販売終了したSmall Business SPA 300およびSPA 500シリーズIP電話のWebベースの管理インターフェイスに、複数の重大なリモートコード実行ゼロデイが存在することを警告している。
ベンダーは、これらのデバイスに対して修正プログラムを提供しておらず、緩和策のヒントも共有していないため、これらの製品のユーザーは、できるだけ早く、より新しく、アクティブにサポートされているモデルに移行する必要があります。
脆弱性の詳細
シスコは5つの欠陥を公表しており、3つはクリティカル(CVSS v3.1スコア:9.8)、2つは重要度が高い(CVSS v3.1スコア:7.5)と分類されている。
致命的な脆弱性は、CVE-2024-20450、CVE-2024-20452、CVE-2024-20454として追跡されている。
これらのバッファオーバーフローの脆弱性は、認証されていないリモートの攻撃者が、特別に細工した HTTP リクエストをターゲットデバイスに送信することで、root 権限で基礎となる OS 上で任意のコマンドを実行することを可能にします。
「悪用に成功すると、攻撃者は内部バッファをオーバーフローさせ、root権限レベルで任意のコマンドを実行できる可能性がある」とシスコは警告している。
深刻度の高い2つの欠陥は、CVE-2024-20451とCVE-2024-20453である。これらはHTTPパケットのチェックが不十分であることが原因で、悪意のあるパケットによって影響を受けるデバイス上でサービス拒否を引き起こす可能性がある。
シスコは、5つの欠陥はすべて、SPA 300およびSPA 500 IPフォンで実行されるすべてのソフトウェアリリースに影響し、その構成に関係なく、互いに独立しており、個別に悪用できることを意味すると指摘している。
サポート終了
シスコのサポートポータルによると、SPA 300は2019年2月に顧客への販売を終了し、3年後の2022年2月にサポート終了を迎えた。
SPA 500については、ベンダーはサポート終了日と同じ2020年6月1日にハードウェアの販売を停止した。
なお、シスコは、サービス契約または特別な保証期間のあるユーザーに対しては、SPA 500を2025年5月31日までまだカバーしているが、SPA 300は2024年2月29日以降はカバーしていない。
どちらもセキュリティ・アップデートが提供されないため、ユーザーはCisco IP Phone 8841やCisco 6800シリーズのモデルなど、サポートされている新しいモデルに移行することが推奨される。
また、シスコはTechnology Migration Program (TMP)を提供しており、対象となる製品を下取りに出すことで、新しい機器へのクレジット還元を受けることができる。
選択肢について不明な場合は、シスコのテクニカルアシスタンスセンター(TAC)に問い合わせることをお勧めする。
Comments