シスコは、認証されていないリモート攻撃者がリモート コード実行(RCE)攻撃で悪用できる、複数の IP Phone モデルの Web UI に見られる重大なセキュリティの脆弱性に対処しました。
RCE の欠陥 (CVE-2023-20078) により、攻撃者は悪用に成功した後にルート権限で実行される任意のコマンドを挿入できます。
「エクスプロイトに成功すると、攻撃者は影響を受けるデバイスの基盤となるオペレーティング システムで任意のコマンドを実行できるようになる可能性があります」とシスコは本日発表しました。
同社は本日、悪用してサービス拒否 (DoS) 状態を引き起こす可能性のある 2 つ目の重大な脆弱性 (CVE-2023-20079) も公開しました。
どちらのバグも、ユーザーが入力した入力の検証が不十分であることが原因であり、悪意を持って作成されたリクエストをターゲット デバイスの Web ベースの管理インターフェイスに送信することで悪用される可能性があります。
セキュリティの脆弱性は、Cisco Advanced Security Initiatives Group (ASIG) の Zack Sanchez によって内部セキュリティ テスト中に発見されました。
影響を受けるデバイスのリストには、マルチプラットフォーム ファームウェアを備えた Cisco IP Phone 6800、7800、および 8800 シリーズのデバイス (RCE および DoS 攻撃の両方に対して脆弱)、Unified IP Conference Phone 8831、マルチプラットフォーム ファームウェアを備えた Unified IP Conference Phone 8831、および Unified IP が含まれます。 Phone 7900 シリーズ(DoS 攻撃に対してのみ脆弱)。
同社の製品セキュリティ インシデント対応チーム (PSIRT) は、攻撃でこのセキュリティ上の欠陥を悪用しようとする試みの証拠は確認されていないと付け加えました。
サービス拒否の脆弱性にパッチが適用されていない
シスコは、CVE-2023-20078 RCE 脆弱性に対処するセキュリティ アップデートをリリースしましたが、CVE-2023-20079 DoS 欠陥を修正するパッチはリリースしないと述べています。
「Cisco Unified IP Phone 7900 シリーズと Cisco Unified IP Conference Phone 8831 は、生産終了プロセスに入りました」と同社は説明しています。
シスコは 12 月に、7800 および 8800 シリーズを実行している Cisco IP Phone の Cisco Discovery Protocol(CDP)処理機能で見つかった公開エクスプロイト コードを使用して、重大度の高いゼロデイ脆弱性(CVE-2022-20968)に対するパッチをリリースすると発表しました。ファームウェア。
CVE-2022-20968 のセキュリティ更新プログラムはまだ利用できませんが、管理者は、Link Layer Discovery Protocol (LLDP) をサポートする影響を受ける IP 電話デバイスで CDP を無効にして、攻撃ベクトルを削除することをお勧めします。
2020 年 2 月、シスコは Cisco Discovery Protocol の他の 5 つの RCE および DoS 脆弱性にパッチを適用しました。これらはまとめてCDPwnと呼ばれ、数千万のエンタープライズ デバイスに影響を与える可能性があります。
Comments