Cisco đã cảnh báo về một lỗ hổng bảo mật nghiêm trọng trong Bộ điều hợp điện thoại 2 cổng SPA112 mà hãng cho biết có thể bị kẻ tấn công từ xa khai thác để thực thi mã tùy ý trên các thiết bị bị ảnh hưởng.
Sự cố, được theo dõi dưới dạng CVE-2023-20126, được xếp hạng 9,8 trên thang điểm 10 tối đa trên hệ thống tính điểm CVSS. Công ty đã ghi nhận Catalpa của DBappSecurity vì đã báo cáo thiếu sót.
Sản phẩm được đề cập cho phép kết nối điện thoại analog và máy fax với nhà cung cấp dịch vụ VoIP mà không cần nâng cấp.
“Lỗ hổng này là do thiếu quy trình xác thực trong chức năng nâng cấp chương trình cơ sở”, công ty cho biết trong một bản tin.
“Kẻ tấn công có thể khai thác lỗ hổng này bằng cách nâng cấp thiết bị bị ảnh hưởng lên phiên bản phần sụn thủ công. Khai thác thành công có thể cho phép kẻ tấn công thực thi mã tùy ý trên thiết bị bị ảnh hưởng với đầy đủ đặc quyền.”
Bất chấp mức độ nghiêm trọng của lỗ hổng, nhà sản xuất thiết bị mạng cho biết họ không có ý định phát hành bản sửa lỗi do thực tế các thiết bị đã đạt đến trạng thái hết tuổi thọ (EoL) kể từ ngày 1 tháng 6 năm 2020.
Thay vào đó, chúng tôi khuyên người dùng nên chuyển sang Bộ điều hợp điện thoại tương tự sê-ri Cisco ATA 190, được thiết lập để nhận bản cập nhật cuối cùng vào ngày 31 tháng 3 năm 2024. Không có bằng chứng nào cho thấy lỗ hổng đã bị khai thác một cách ác ý trong thực tế.
