A Cisco divulgou uma vulnerabilidade na interface de gerenciamento baseada na web dos adaptadores de telefone de 2 portas Cisco SPA112, permitindo que um atacante remoto e não autenticado execute código arbitrário nos dispositivos.
Rastreada como
CVE-2023-20126
e tendo uma pontuação CVSS "crítica" de 9.8, essa vulnerabilidade é causada por um processo de autenticação ausente na função de atualização do firmware.
"Um atacante poderia explorar essa vulnerabilidade atualizando um dispositivo afetado para uma versão de firmware criada", diz o boletim de segurança da Cisco.
"Um exploit bem-sucedido poderia permitir que o atacante execute código arbitrário no dispositivo afetado com privilégios totais".
Esses adaptadores de telefone são uma escolha popular na indústria para incorporar telefones analógicos em redes VoIP sem atualização.
Embora esses adaptadores possam ser usados em muitas organizações, eles provavelmente não estão expostos à Internet, tornando essas falhas principalmente exploráveis a partir da rede local.
No entanto, ganhar acesso a esses dispositivos pode ajudar um ator ameaçador a se espalhar lateralmente em uma rede sem detecção, já que o software de segurança geralmente não monitora esses tipos de dispositivos.
Como o Cisco SPA112 chegou ao fim de sua vida, ele não é mais suportado pelo fornecedor e não receberá uma atualização de segurança.
Além disso, a Cisco não forneceu nenhuma mitigação para
CVE-2023-20126
.
O boletim de segurança da Cisco tem como objetivo conscientizar sobre a necessidade de substituir os adaptadores de telefone impactados ou implementar camadas adicionais de segurança para protegê-los de ataques.
O modelo de substituição recomendado é o Adaptador de Telefone Analógico da Série Cisco ATA 190, que tem uma data de fim de vida designada em 31 de março de 2024.
A empresa não tem conhecimento de quaisquer instâncias de exploração ativa de
CVE-2023-20126
, mas isso pode mudar a qualquer momento, portanto, os administradores são aconselhados a tomar as precauções apropriadas urgentemente.
Falhas de gravidade crítica em dispositivos anteriormente populares são candidatos potenciais para uso em ataques, potencialmente levando a incidentes de segurança em grande escala.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...