Nieuws

Cisco komt niet met update voor kritiek beveiligingslek in voip-telefoonadapter

donderdag 4 mei 2023, 10:23 door Redactie, 6 reacties

Een kritieke kwetsbaarheid in de SPA112 voip-telefoonadapter van Cisco maakt het mogelijk voor ongeauthenticeerde aanvallers om het apparaat op afstand volledig over te nemen, maar het netwerkbedrijf maakt geen update beschikbaar om het probleem te verhelpen. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8.

De SPA 112 is een voip-converter waarop twee analoge telefoons zijn te aansluiten zodat ze voor bellen via voip zijn te gebruiken. Het apparaat is al sinds 2011 in omloop, maar wordt sinds 2020 niet meer verkocht. De ondersteuning van de voip-telefoonadapter eindigt op 31 mei 2025. Eén webshop noemde het de "populairste voIp-converter uit ons assortiment".

Een kwetsbaarheid, aangeduid als CVE-2023-20126, maakt het mogelijk voor een remote aanvaller om zonder enige authenticatie zijn eigen firmware op het apparaat te installeren. De firmware-upgradefunctie blijkt namelijk niet over een authenticatieproces te beschikken, aldus Cisco. Een aanvaller kan via zijn eigen firmware zo volledige controle over het apparaat krijgen.

De ondersteuning eindigt zoals gezegd op 31 mei 2025. Cisco zal echter geen updates uitbrengen om het probleem te verhelpen. De SPA112 voip-telefoonadapter ontvangt namelijk sinds 1 juni 2020 geen beveiligingsupdates meer. De support die nog wel wordt geboden geldt alleen voor eerder afgesloten servicecontracten en omvatten geen patches.

Belgische stad Herselt raakte via vpn-wachtwoord leverancier besmet met malware

Microsoft voorziet Exchange Server 2019 van OAuth 2.0-support voor Outlook

Reacties (6)

04-05-2023, 10:40 door Anoniem

Als die "nieuwe firmware" het een hacker in staat stelt om over de lijn van de gebruiker scam-telefoontjes te relayen, of dure betaalnummers in het buitenland te bellen, dan gok ik zomaar dat er op een hoop zolderkamers hard geprogrammeerd wordt om de eerste te zijn.

04-05-2023, 11:48 door Anoniem

Wat ik niet begrijp is hoe een hacker firmware kan installeren zonder eerst toegang te krijgen tot mijn interne netwerk. Daarvoor moet die zich fysiek toegang verschaffen of langs de firewall in mijn router zien te komen. Dat risico lijkt mij te overzien..

[ot]Ik zit wel met spanning te wachten op een vervanger die IPv6 doet. [/ot]

MV

04-05-2023, 13:08 door Anoniem

Door Anoniem:
[ot]Ik zit wel met spanning te wachten op een vervanger die IPv6 doet. [/ot]

Met de support van IPv6 in VoIP spullen is het vaak treurig gesteld. Dit geeft eigenlijk wel het failliet van IPv6 aan, want
juist met VoIP waar NAT altijd een drama is zou IPv6 een hoop problemen oplossen.

Echter:
- VoIP providers ondersteunen bijna nooit IPv6
- De IPv6 support in VoIP apparatuur is vaak wrakkig en ongetest
- Zelfs VoIP apps op mobieltjes hebben vaak problemen met IPv6.

En dat terwijl je zou verwachten dat de VoIP community vol op IPv6 gedoken was. Al in 2011.

04-05-2023, 13:28 door Anoniem

Ik moet bekennen dat ik wel een beetje sta te kijken van het bericht. Ik was er namelijk niet van op de hoogte dat bedrijven die security hoog in het vaandel hebben (in het geval van Cisco zou je toch wel kunnen stellen dat het hun corebusiness is) onveilige apparaten ondersteunen. Wat betekent ondersteunen dan? Waarom zou je überhaupt een product willen ondersteunen als je niet bereid bent dat veilig te doen? Dan geef je toch een volstrekt verkeerde boodschap af aan je afnemers? Namelijk dat het 'wel oké' is om te werken met onveilige apparaten.

04-05-2023, 17:00 door Anoniem

Door Anoniem: Ik moet bekennen dat ik wel een beetje sta te kijken van het bericht. Ik was er namelijk niet van op de hoogte dat bedrijven die security hoog in het vaandel hebben (in het geval van Cisco zou je toch wel kunnen stellen dat het hun corebusiness is) onveilige apparaten ondersteunen. Wat betekent ondersteunen dan?

Je moet wel bedenken dat dit een product van het goedkope Linksys merk is wat door Cisco is gekocht en opgenomen
in het eigen productpakket. Dan kan het natuurlijk zijn dat het opplakken van een Cisco sticker niet meteen betere kwaliteit
en betere support betekent, hoewel de mooipraters van de marketing afdeling je anders willen laten geloven.

05-05-2023, 08:50 door Anoniem

Bijzonder voor een bedrijf als Cisco. Aan de andere kant; wie exposed zo'n web-interface op een LAN waar users (en hackers) zich bevinden? Laat staan dat je zoiets via NAT exposed aan het internet.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer