シスコは本日、最新世代の IP 電話に影響を与え、リモート コード実行とサービス拒否 (DoS) 攻撃にさらす深刻なゼロデイ脆弱性を明らかにしました。
同社は木曜日、製品セキュリティ インシデント対応チーム (PSIRT) が「概念実証用のエクスプロイト コードが利用可能であることを認識しており」、「脆弱性については公に議論されている」と警告しました。
ただし、シスコの PSIRT は、このセキュリティ上の欠陥を攻撃に悪用しようとする試みはまだ認識していないと付け加えました。
Cisco は、公開前にこのバグに対処するためのセキュリティ アップデートをリリースしておらず、2023 年 1 月にパッチが利用可能になると述べています。
CVE-2022-20968 は、セキュリティ上の欠陥が追跡されているため、受信した Cisco Discovery Protocol パケットの入力検証が不十分であることが原因であり、認証されていない隣接する攻撃者がこれを悪用してスタック オーバーフローを引き起こす可能性があります。
影響を受けるデバイスには、7800 および 8800 シリーズ ファームウェアバージョン 14.2 以前を実行している Cisco IP 電話が含まれます。
この脆弱性は、QI-ANXIN Group の Legendsec の Codesafe チームの Qian Chen によってシスコに報告されました。
一部のデバイスで利用可能な軽減策
CVE-2022-20968 に対処するためのセキュリティ アップデートまたは回避策はまだ利用できませんが、Cisco は潜在的な攻撃から環境内の脆弱なデバイスを保護したい管理者向けの軽減アドバイスを提供しています。
これには、影響を受ける IP Phone 7800 および 8800 シリーズ デバイスで Cisco Discovery Protocol を無効にする必要があります。これらのデバイスは近隣探索のために Link Layer Discovery Protocol (LLDP) もサポートしています。
「その後、デバイスは LLDP を使用して、音声 VLAN や電力ネゴシエーションなどの構成データを検出します」と Cisco は、木曜日に公開されたセキュリティ アドバイザリで説明しています。
「これは些細な変更ではなく、企業に代わって、デバイスへの潜在的な影響と、この変更を企業に展開するための最善のアプローチを評価するために、慎重に検討する必要があります。」
この軽減策を展開する管理者は、その有効性と環境への適用性をテストすることをお勧めします。
シスコは、「顧客は、自分の環境への適用可能性とそのような環境への影響を最初に評価する前に、回避策や緩和策を展開するべきではありません」と警告しました.
Comments