Kritikus sérülékenység érint egy népszerű Cisco telefon adaptert

A Cisco SPA112 2 portos telefonadapter kritikus sérülékenységének (CVE-2023-20126 – CVSS: 9,8 pont) kihasználása tetszőleges távoli kódfuttatást tesz lehetővé a támadók számára.

A szóban forgó Cisco termékek lehetővé teszi analóg telefonok és faxkészülékek frissítés nélküli VoIP szolgáltatókhoz történő csatlakozását.

A Cisco közleménye szerint a sérülékenység a firmware frissítési funkció egy hiányos hitelesítési folyamatából ered. Ezt kihasználva a támadók képesek az általuk elkészített – és a gyártó által nem hitelesített – firmware verziót telepíteni az érintett eszközökön, ami az így megszerzett emelt szintű jogosultsággal, tetszőleg távoli kódfuttatáshoz vezethet.

A sebezhetőség súlyossága ellenére a Cisco nem tervez javításokat kiadni az érintett eszközökhöz, mivel azok még 2020. június 1-én elérték az életciklusuk végét (End-of-Life), ehelyett az érintett felhasználóknak javasolja a Cisco ATA 190 sorozatú analóg telefonadapterre történő átállás, aminek 2024. március 31-én szűnik csak meg a gyártói támogatása.

(thehackernews.com)

Vonatkozó sérülékenység leírás az NBSZ NKI weboldalán:

CVE-2023-20126