Een kritieke kwetsbaarheid in de SPA112 voip-telefoonadapter van Cisco maakt het mogelijk voor ongeauthenticeerde aanvallers om het apparaat op afstand volledig over te nemen, maar het netwerkbedrijf maakt geen update beschikbaar om het probleem te verhelpen. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8.
De SPA 112 is een voip-converter waarop twee analoge telefoons zijn te aansluiten zodat ze voor bellen via voip zijn te gebruiken. Het apparaat is al sinds 2011 in omloop, maar wordt sinds 2020 niet meer verkocht. De ondersteuning van de voip-telefoonadapter eindigt op 31 mei 2025. Eén webshop noemde het de "populairste voIp-converter uit ons assortiment".
Een kwetsbaarheid, aangeduid als CVE-2023-20126, maakt het mogelijk voor een remote aanvaller om zonder enige authenticatie zijn eigen firmware op het apparaat te installeren. De firmware-upgradefunctie blijkt namelijk niet over een authenticatieproces te beschikken, aldus Cisco. Een aanvaller kan via zijn eigen firmware zo volledige controle over het apparaat krijgen.
De ondersteuning eindigt zoals gezegd op 31 mei 2025. Cisco zal echter geen updates uitbrengen om het probleem te verhelpen. De SPA112 voip-telefoonadapter ontvangt namelijk sinds 1 juni 2020 geen beveiligingsupdates meer. De support die nog wel wordt geboden geldt alleen voor eerder afgesloten servicecontracten en omvatten geen patches.
Deze posting is gelocked. Reageren is niet meer mogelijk.