سیسکو درباره چندین آسیب‌پذیری حیاتی اجرای کد از راه دور در رابط مدیریت مبتنی بر وب تلفن‌های IP مشاغل کوچک سری SPA 300 و SPA 500 که دیگر پشتیبانی نمی‌شوند، هشدار داده است.

Bleeping Computer می نویسد که سیسکو راه حلی برای این دستگاه ها ارائه نکرده و راه حل های کاهش خطر را منتشر نکرده است. بنابراین، کاربران این محصولات باید در اسرع وقت به مدل های جدیدتر و پشتیبانی شده ارتقا دهند.

تلفن های آی پی سیسکو

سیسکو پنج آسیب‌پذیری را فاش کرده است که سه مورد از آنها بحرانی (امتیاز CVSS v3.1: 9.8) و دو مورد از آنها دارای رتبه بالا (امتیاز CVSS v3.1: 7.5) هستند.

آسیب‌پذیری‌های حیاتی به‌عنوان CVE-2024-20450 و CVE-2024-20452 و CVE-2024-20454 ردیابی می‌شوند. این آسیب‌پذیری‌های سرریز بافر به یک مهاجم از راه دور و احراز هویت نشده اجازه می‌دهد تا با ارسال یک درخواست HTTP خاص به دستگاه هدف، دستورات دلخواه را با امتیازات ریشه در زیرسیستم اجرا کند.

سیسکو در این اطلاعیه هشدار می دهد که یک سوء استفاده موفق می تواند به مهاجم اجازه دهد تا از یک بافر داخلی سرریز کند و دستورات دلخواه را در سطح امتیاز root اجرا کند.

دو باگ با شدت بالا CVE-2024-20451 و CVE-2024-20453 نیز نامیده می شوند. این نقص‌ها به دلیل بازرسی ناکافی بسته‌های HTTP ایجاد می‌شوند که به بسته‌های مخرب اجازه می‌دهد تا باعث انکار سرویس (DoS) در یک دستگاه آسیب‌پذیر شوند.

سیسکو خاطرنشان می کند که هر پنج اشکال بر روی تمام نسخه های نرم افزاری که روی تلفن های IP SPA 300 و SPA 500 اجرا می شوند تأثیر می گذارد و مستقل از یکدیگر هستند. این بدان معنی است که آنها می توانند جداگانه استفاده شوند.

طبق پورتال پشتیبانی سیسکو، آخرین دستگاه SPA 300 در فوریه 2019 به مشتریان فروخته شد و پشتیبانی سه سال بعد، در فوریه 2022 به پایان رسید. فروش SPA 500 نیز در همان روز پایان پشتیبانی، یعنی در 1 ژوئن 2020، متوقف شد.

لطفاً توجه داشته باشید که سیسکو تا 31 می 2025 به پشتیبانی از SPA 500 برای قراردادهای خدمات یا شرایط گارانتی ویژه ادامه خواهد داد. اما از 29 فوریه 2024، پشتیبانی از SPA 300 متوقف شده است.

هیچ یک از مدل ها به روز رسانی امنیتی دریافت نمی کنند. بنابراین، به کاربران توصیه می شود به مدل های جدیدتر و پشتیبانی شده مانند Cisco IP Phone 8841 یا یکی از مدل های سری 6800 سیسکو مهاجرت کنید.

علاوه بر این، سیسکو یک برنامه TMP ارائه می دهد که به مشتریان اجازه می دهد محصولات واجد شرایط را برای اعتبار به دستگاه های جدید مبادله کنند.

اخبار مرتبط

ارسال به دیگران :

آخرین اخبار

همکاران ما