Falhas críticas no telefone IP Cisco Small Business

Falhas críticas no telefone IP Cisco Small Business expõem os usuários a ataques remotos

A Cisco emitiu um aviso de segurança alertando os usuários de seus telefones IP Small Business SPA300 e SPA500 Series sobre diversas vulnerabilidades críticas que podem permitir que invasores remotos executem comandos arbitrários ou causem condições de negação de serviço (DoS).

Essas vulnerabilidades afetam todas as versões de software das séries mencionadas, e nenhuma atualização de software ou solução alternativa está disponível no momento.

Detalhes da vulnerabilidade

As vulnerabilidades, CVE-2024-20450, CVE-2024-20452 e CVE-2024-20454, permitem que invasores remotos não autenticados executem comandos arbitrários no sistema operacional com privilégios de root.

Isso ocorre devido à verificação inadequada de erros de pacotes HTTP recebidos, levando a um possível estouro de buffer.

CVE-2024-20451 e CVE-2024-20453 também podem permitir que invasores causem uma condição DoS, forçando os dispositivos afetados a recarregar inesperadamente.

Essas vulnerabilidades são classificadas com uma Classificação de Impacto de Segurança (SIR) de Alta. As vulnerabilidades de execução de comando têm uma Pontuação Base CVSS de 9,8, indicando gravidade crítica, enquanto as vulnerabilidades DoS têm uma Pontuação Base CVSS de 7,5.

ID de vulnerabilidade Descrição Pontuação base CVSS
CVE-2024-20450  Vulnerabilidade de execução de comando arbitrário na interface da Web de telefones IP 9.8
CVE-2024-20452  Vulnerabilidade de execução de comando arbitrário na interface da Web de telefones IP 9.8
CVE-2024-20454  Vulnerabilidade de execução de comando arbitrário na interface da Web de telefones IP 9.8
CVE-2024-20451 Vulnerabilidade DoS em interface de usuário da Web de telefones IP 7,5
CVE-2024-20453 Vulnerabilidade DoS em interface de usuário da Web de telefones IP 7,5

A Cisco confirmou que nenhuma atualização de software será lançada para corrigir essas vulnerabilidades, pois os produtos afetados entraram no processo de fim de vida útil.

Os clientes são aconselhados a consultar os avisos de fim de vida útil da Cisco e considerar a migração do dispositivo para garantir segurança e suporte contínuos.

O aviso da Cisco enfatiza a verificação regular dos avisos de segurança para determinar a exposição e explorar soluções de atualização.

Embora não haja soluções alternativas disponíveis, a Cisco recomenda que os usuários das séries de telefones IP afetadas considerem migrar para modelos mais novos e com suporte ativo.

Os clientes devem garantir que todos os novos dispositivos atendam às suas necessidades de rede e sejam compatíveis com as configurações de hardware e software existentes .

Os usuários podem entrar em contato com o Centro de Assistência Técnica (TAC) da Cisco ou seus provedores de manutenção para obter mais orientações.

A Cisco reconheceu Aidan da BAE Systems Digital Intelligence por relatar essas vulnerabilidades. Até agora, não houve anúncios públicos ou relatos de exploração maliciosa dessas vulnerabilidades.

Fonte: GBHackers

Veja também:

About mindsecblog 2776 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Be the first to comment

Deixe sua opinião!