هشدار سیسکو درباره آسیب‌پذیری در آداپتور تلفن محبوب و خواستار مهاجرت به مدل جدیدتر

سیسکو در مورد یک نقص امنیتی مهم در آداپتورهای تلفن دو پورت SPA112 هشدار داده است که می‌تواند توسط یک مهاجم راه دور برای اجرای کد دلخواه در دستگاه‌های آسیب‌دیده مورد بهره‌برداری قرار گیرد.

این موضوع که با عنوان CVE-2023-20126 دنبال می‌شود[۱]، در سیستم امتیازدهی CVSS دارای امتیاز ۸/۹ از حداکثر ۱۰ است. شرکت سیسکو به Catalpa of DBappSecurity به دلیل گزارش این نقص اعتبار داده است.

محصول موردنظر[۲] امکان اتصال تلفن‌های آنالوگ و دستگاه‌های فکس را به یک ارائه‌دهنده خدمات VoIP بدون نیاز به ارتقاء می‌دهد.

این شرکت در بولتنی دراین‌باره گفت[۳]: «این آسیب‌پذیری به دلیل عدم وجود فرآیند احراز هویت در عملکرد ارتقاء firmware است».

“یک مهاجم می‌تواند از این آسیب‌پذیری با ارتقای دستگاه آسیب‌دیده به یک نسخه firmware دستکاری‌شده بهره‌برداری کند. یک بهره‌برداری موفق می‌تواند به مهاجم اجازه دهد تا کد دلخواه را روی دستگاه آسیب‌دیده با امتیازات کامل اجرا کند.”

علیرغم شدت این نقص، این سازنده تجهیزات شبکه اعلام کرد که به دلیل اینکه این دستگاه‌ها از اول ژوئن ۲۰۲۰ به وضعیت پایان عمر (EoL) رسیده‌اند، قصد ندارد اصلاحاتی را منتشر کند.

در عوض توصیه می‌کند که کاربران به آداپتور تلفن آنالوگ سری ۱۹۰ سیسکو ATA مهاجرت کنند، که قرار است آخرین به‌روزرسانی[۴] خود را در ۳۱ مارس ۲۰۲۴ دریافت کند. هیچ مدرکی دال بر بهره‌برداری از این نقص در سطح اینترنت وجود ندارد.

منابع

[۱] https://nvd.nist.gov/vuln/detail/CVE-2023-20126

[۲] https://www.cisco.com/c/en/us/products/unified-communications/spa112-2-port-phone-adapter/index.html

[۳] https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-spa-unauth-upgrade-UqhyTWW

[۴] https://www.cisco.com/c/en/us/products/collateral/unified-communications/ata-190-series-analog-telephone-adapters/eos-eol-notice-c51-741354.html

[۵] https://thehackernews.com/2023/05/cisco-warns-of-vulnerability-in-popular.html