Cisco ip-telefoons via kritieke kwetsbaarheid op afstand over te nemen
Ip-telefoons van Cisco zijn via verschillende kritieke kwetsbaarheden op afstand door een ongeauthenticeerde aanvaller volledig over te nemen en een update zal het bedrijf niet beschikbaar maken. Als oplossing wordt de aanschaf van nieuwe apparatuur aangeraden. De drie beveiligingslekken (CVE-2024-20450, CVE-2024-20452 en CVE-2024-20454) bevinden zich in de webinterface van Cisco Small Business SPA300 en SPA500 ip-telefoons en laten een aanvaller willekeurige commando's met rootrechten op het onderliggende besturingssysteem uitvoeren.
Volgens Cisco worden de kwetsbaarheden veroorzaakt doordat http-packets niet goed op fouten worden gecontroleerd, wat kan leiden tot een buffer overflow. Een aanvaller kan door het versturen van een speciaal geprepareerd http-packet naar een kwetsbaar toestel hier misbruik van maken. Cisco zal geen beveiligingsupdates uitbrengen om de problemen te verhelpen, aangezien de betreffende toestellen end-of-life zijn en niet meer worden ondersteund. Als mogelijke oplossing wordt dan ook het migreren naar nieuwe apparatuur aangeraden. De impact van de drie kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 9.8.
Cisco zal geen beveiligingsupdates uitbrengen om de problemen te verhelpen, aangezien de betreffende toestellen end-of-life zijn en niet meer worden ondersteund.
gezien impactsbeoordeling van 9.8 .
Geen beveiligingsupdate voor een dergelijke impact kan betekenen dat men zal overwegen
om bij vervanging niet voor Cisco te kiezen.
Cisco zal geen beveiligingsupdates uitbrengen om de problemen te verhelpen, aangezien de betreffende toestellen end-of-life zijn en niet meer worden ondersteund.
gezien impactsbeoordeling van 9.8 .
Dat was ook mijn gedachte. En toen zag ik dit https://advisories.ncsc.nl/advisory?id=NCSC-2024-0327 en dacht zie je wel, dus toch.... maar helaas, de schrijfwijze bij NCSC is zeer misleidend. Word nog afwachten dus.... Ik denk dat het nog vele duizenden toestellen in gebruik zijn, want ze werken opzich prima.
En Cisco is blij met de melder, ja dat zal wel als ze daardoor vele duizenden toestellen moeten gaan vervangen (dus verkopen $$).
https://www.cisco.com/c/en/us/products/collateral/collaboration-endpoints/small-business-spa500-series-ip-phones/eos-eol-notice-c51-743207.html
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
