Cisco ip-telefoons via kritieke kwetsbaarheid op afstand over te nemen
Ip-telefoons van Cisco zijn via verschillende kritieke kwetsbaarheden op afstand door een ongeauthenticeerde aanvaller volledig over te nemen en een update zal het bedrijf niet beschikbaar maken. Als oplossing wordt de aanschaf van nieuwe apparatuur aangeraden. De drie beveiligingslekken (CVE-2024-20450, CVE-2024-20452 en CVE-2024-20454) bevinden zich in de webinterface van Cisco Small Business SPA300 en SPA500 ip-telefoons en laten een aanvaller willekeurige commando's met rootrechten op het onderliggende besturingssysteem uitvoeren.
Volgens Cisco worden de kwetsbaarheden veroorzaakt doordat http-packets niet goed op fouten worden gecontroleerd, wat kan leiden tot een buffer overflow. Een aanvaller kan door het versturen van een speciaal geprepareerd http-packet naar een kwetsbaar toestel hier misbruik van maken. Cisco zal geen beveiligingsupdates uitbrengen om de problemen te verhelpen, aangezien de betreffende toestellen end-of-life zijn en niet meer worden ondersteund. Als mogelijke oplossing wordt dan ook het migreren naar nieuwe apparatuur aangeraden. De impact van de drie kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 9.8.
Cisco zal geen beveiligingsupdates uitbrengen om de problemen te verhelpen, aangezien de betreffende toestellen end-of-life zijn en niet meer worden ondersteund.
gezien impactsbeoordeling van 9.8 .
Geen beveiligingsupdate voor een dergelijke impact kan betekenen dat men zal overwegen
om bij vervanging niet voor Cisco te kiezen.
Cisco zal geen beveiligingsupdates uitbrengen om de problemen te verhelpen, aangezien de betreffende toestellen end-of-life zijn en niet meer worden ondersteund.
gezien impactsbeoordeling van 9.8 .
Dat was ook mijn gedachte. En toen zag ik dit https://advisories.ncsc.nl/advisory?id=NCSC-2024-0327 en dacht zie je wel, dus toch.... maar helaas, de schrijfwijze bij NCSC is zeer misleidend. Word nog afwachten dus.... Ik denk dat het nog vele duizenden toestellen in gebruik zijn, want ze werken opzich prima.
En Cisco is blij met de melder, ja dat zal wel als ze daardoor vele duizenden toestellen moeten gaan vervangen (dus verkopen $$).
https://www.cisco.com/c/en/us/products/collateral/collaboration-endpoints/small-business-spa500-series-ip-phones/eos-eol-notice-c51-743207.html
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Information Security Officer
Ben jij de Information Security Officer met hart voor de zorg? Wil je een bijdrage leveren aan Informatiebeveiliging binnen het Erasmus MC? Word onderdeel van ons team! Samen met de CISO en een team van Information Security Officers zorg je ervoor dat informatiebeveiliging en gegevens-bescherming binnen Erasmus MC de benodigde aandacht krijgt.
GRC Officer
Als digitaal knooppunt hebben wij te maken met veel verschillende opdrachtgevers en klanten in het zorgveld. Deze opdrachtgevers en klanten vertrouwen erop dat de onze dienstverlening veilig is en continu voldoet aan alle (voortdurende wijzigende) relevante wet- en regelgeving. Als GRC Officer ben jij op de hoogte van die wet- en regelgeving en weet je de vertaalslag te maken naar de praktijk van VECOZO.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.