Cisco исправила критическую уязвимость в ряде своих IP-телефонов

Cisco исправила критическую уязвимость в ряде своих IP-телефонов

При этом компания не планирует обновлять старые серии оборудования, оставляя тысячи устройств уязвимыми.

image

1 марта Cisco выпустила обновления безопасности для устранения критической уязвимости, влияющей на её IP-телефоны серий 6800, 7800, 7900 и 8800.

Уязвимость, отслеживаемая под идентификатором CVE-2023-20078, имеет рейтинг 9,8 из 10 в системе оценки CVSS и описывается как «ошибка внедрения команды в веб-интерфейсе управления, возникающая из-за недостаточной проверки введенных пользователем данных». Успешное использование данной уязвимости может позволить удаленному неавторизованному злоумышленнику выполнять произвольные команды с наивысшими привилегиями в базовой операционной системе.

Cisco также исправила DoS-уязвимость высокой степени критичности, затрагивающую тот же набор устройств, а также унифицированный IP-телефон для конференц-связи Cisco 8831 и унифицированный IP-телефон 7900.

Уязвимость CVE-2023-20079 (CVSS: 7,5), также являющаяся результатом недостаточной проверки введенных пользователем данных в веб-интерфейсе управления, тоже может быть использована киберпреступниками для проведения DoS-атак.

Несмотря на то, что Cisco выпустила многоплатформенное микропрограммное обеспечение версии 11.3.7SR1 для устранения CVE-2023-20078, компания заявила, что не планирует исправлять уязвимость CVE-2023-20079, поскольку срок службы обеих моделей унифицированных IP-телефонов для конференц-связи уже истёк. Напомним, компания довольно часто не желает устранять уязвимости в старом оборудовании, мотивируя своих клиентов приобретать новые устройства.

Как сообщается , обе уязвимости были обнаружены во время внутреннего тестирования безопасности Cisco, и хакеры ещё не успели применить их в реальных атаках.

Ваша приватность умирает красиво, но мы можем спасти её.

Присоединяйтесь к нам!