Cisco je upozorio na kritičnu sigurnosnu grešku u SPA112 2-portnim telefonskim adapterima za koje kaže da bi ih udaljeni napadač mogao iskoristiti za izvršavanje proizvoljnog koda na pogođenim uređajima.
Problem, praćen kao CVE-2023-20126, je ocenjen sa 9,8 od maksimalnih 10 na CVSS sistemu bodovanja. Kompanija je zaslužna za prijavu nedostatka Catalpa iz DBappSecurity-a.
Predmetni proizvod omogućava povezivanje analognih telefona i faks uređaja sa VoIP provajderom bez potrebe za nadogradnjom.
“Ova ranjivost je uzrokovana nedostajućim procesom autentifikacije unutar funkcije nadogradnje firmware-a” navodi kompanija u biltenu.
“Napadač bi mogao iskoristiti ovu ranjivost nadogradnjom pogođenog uređaja na izrađenu verziju firmvera. Uspješno iskorištavanje može omogućiti napadaču da izvrši proizvoljni kod na pogođenom uređaju s punim privilegijama.”
Uprkos ozbiljnosti greške, proizvođač mrežne opreme rekao je da ne namjerava objaviti popravke zbog činjenice da su uređaji dosegli status na kraju životnog vijeka (EoL) od 1. juna 2020. godine.
Umesto toga, preporučuje se korisnicima da pređu na analogni telefonski adapter Cisco ATA 190 serije, koji bi trebalo da dobije svoje poslednje ažuriranje 31. marta 2024. godine. Nema dokaza da je mana maliciozno iskorištena u praksi.
Izvor: The Hacker News