[ Tráfego 4/Out a 2/Nov: 341.857 page views - 134.359 usuários ] - [ Newsletter 5.481 assinantes Open rate 28%]

Falhas incorrigíveis na interface web de telefones Cisco

Da Redação
08/08/2024

Várias vulnerabilidades na interface de gerenciamento baseada na Web dos telefones IP Cisco Small Business SPA300 Series e Cisco Small Business SPA500 Series podem permitir que um invasor execute comandos arbitrários no sistema operacional subjacente ou cause uma condição de negação de serviço (DoS). O alerta foi feito pela Cisco ontem em comunicado aos clientes e acrescenta que a Cisco não lançou atualizações de software que solucionem essas vulnerabilidades, e que não há soluções alternativas que solucionem essas vulnerabilidades. A solução é substituir os equipamentos.

Leia também
Ataques a switches Cisco Nexus exploram zero-day
Cisco corrige falha que expôs reuniões militares no Webex

Na verdade, os telefones podem ser completamente controlados remotamente por um invasor não autenticado por meio de diversas vulnerabilidades críticas. As três vulnerabilidades (CVE-2024-20450, CVE-2024-20452 e CVE-2024-20454) estão na interface web dos telefones IP Cisco Small Business SPA300 e SPA500 e permitem que um invasor execute comandos arbitrários com privilégios de root no sistema operacional subjacente.

De acordo com a Cisco, as vulnerabilidades são causadas pela verificação inadequada de erros nos pacotes HTTP, o que pode levar a um buffer overflow. Um invasor pode abusar disso enviando um pacote HTTP especialmente preparado para um dispositivo vulnerável. A Cisco não lançará atualizações de segurança para resolver os problemas, pois os dispositivos afetados estão em fim de vida e não são mais suportados. A migração para novos equipamentos é, portanto, recomendada como uma possível solução. O impacto das três vulnerabilidades foi classificado como 9,8 em uma escala de 1 a 10.

Compartilhar: