0
0
A Cisco revelou a existência de uma vulnerabilidade crítica (CVE-2023-20126) na interface de gerenciamento baseada na Web dos adaptadores de telefone de 112 portas Cisco SPA2.
Os adaptadores são amplamente utilizados para integrar telefones analógicos em redes VoIP sem a necessidade de uma atualização.
Sobre a vulnerabilidade (CVE-2023-20126)
CVE-2023-20126 pode ser explorado sem autenticação prévia.
“Esta vulnerabilidade deve-se a um processo de autenticação em falta na função de atualização de firmware. Um invasor pode explorar essa vulnerabilidade atualizando um dispositivo afetado para uma versão criada do firmware”, explica o comunicado de segurança da Cisco.
“Uma exploração bem-sucedida pode permitir que o invasor execute código arbitrário no dispositivo afetado com privilégios completos.”
A vulnerabilidade foi relatada em particular e não há indícios de que tenha sido explorada na natureza.
Remediação
O adaptador vulnerável não é mais suportado, o que significa que a Cisco não lançará atualizações de firmware para corrigir essa vulnerabilidade.
Sem correções e soluções alternativas disponíveis, a Cisco está pedindo aos clientes que migrem para um dispositivo mais recente.
No comunicado de segurança, diz que os usuários devem migrar para um adaptador de telefone analógico Cisco ATA 190 Series, mas o documento EOL para o adaptador de telefone de 112 portas Cisco SPA2 aponta para o adaptador de telefone analógico Cisco ATA 191 Series como uma substituição de ajuste.
FONTE: HELPNET SECURITY