image

Cisco ip-telefoons via kritieke kwetsbaarheid op afstand over te nemen

donderdag 8 augustus 2024, 09:31 door Redactie, 3 reacties

Ip-telefoons van Cisco zijn via verschillende kritieke kwetsbaarheden op afstand door een ongeauthenticeerde aanvaller volledig over te nemen en een update zal het bedrijf niet beschikbaar maken. Als oplossing wordt de aanschaf van nieuwe apparatuur aangeraden. De drie beveiligingslekken (CVE-2024-20450, CVE-2024-20452 en CVE-2024-20454) bevinden zich in de webinterface van Cisco Small Business SPA300 en SPA500 ip-telefoons en laten een aanvaller willekeurige commando's met rootrechten op het onderliggende besturingssysteem uitvoeren.

Volgens Cisco worden de kwetsbaarheden veroorzaakt doordat http-packets niet goed op fouten worden gecontroleerd, wat kan leiden tot een buffer overflow. Een aanvaller kan door het versturen van een speciaal geprepareerd http-packet naar een kwetsbaar toestel hier misbruik van maken. Cisco zal geen beveiligingsupdates uitbrengen om de problemen te verhelpen, aangezien de betreffende toestellen end-of-life zijn en niet meer worden ondersteund. Als mogelijke oplossing wordt dan ook het migreren naar nieuwe apparatuur aangeraden. De impact van de drie kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 9.8.

Reacties (3)
08-08-2024, 10:56 door Anoniem

Cisco zal geen beveiligingsupdates uitbrengen om de problemen te verhelpen, aangezien de betreffende toestellen end-of-life zijn en niet meer worden ondersteund.
Eens kijken hoelang ze dat volhouden als ze onder vuur van de media komen, zeker
gezien impactsbeoordeling van 9.8 .

Geen beveiligingsupdate voor een dergelijke impact kan betekenen dat men zal overwegen
om bij vervanging niet voor Cisco te kiezen.
09-08-2024, 10:36 door Anoniem
Door Anoniem:

Cisco zal geen beveiligingsupdates uitbrengen om de problemen te verhelpen, aangezien de betreffende toestellen end-of-life zijn en niet meer worden ondersteund.
Eens kijken hoelang ze dat volhouden als ze onder vuur van de media komen, zeker
gezien impactsbeoordeling van 9.8 .

Dat was ook mijn gedachte. En toen zag ik dit https://advisories.ncsc.nl/advisory?id=NCSC-2024-0327 en dacht zie je wel, dus toch.... maar helaas, de schrijfwijze bij NCSC is zeer misleidend. Word nog afwachten dus.... Ik denk dat het nog vele duizenden toestellen in gebruik zijn, want ze werken opzich prima.

En Cisco is blij met de melder, ja dat zal wel als ze daardoor vele duizenden toestellen moeten gaan vervangen (dus verkopen $$).
10-08-2024, 08:56 door Anoniem
Behoort Cisco dan nog iets te doen? End of Vulnerability/Security Support was 4 jaar terug.
https://www.cisco.com/c/en/us/products/collateral/collaboration-endpoints/small-business-spa500-series-ip-phones/eos-eol-notice-c51-743207.html
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.