Cisco เปิดเผยช่องโหว่ในอินเทอร์เฟซ web-based management ของ Cisco SPA112 2-Port Phone Adapters ซึ่งอาจทำให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้โดยไม่ต้องผ่านการตรวจสอบสิทธิ์
ช่องโหว่ดังกล่าวมีหมายเลข CVE-2023-20126 คะแนน CVSS score อยู่ที่ 9.8 โดยเป็นช่องโหว่ในกระบวนการตรวจสอบการ authentication ในฟังก์ชันอัปเกรดเฟิร์มแวร์
Cisco ระบุว่า ผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่นี้ได้ผ่านการอัปเกรดเฟิร์มแวร์ของอุปกรณ์ด้วยเวอร์ชันที่ออกแบบมาเป็นพิเศษเพื่อการโจมตี โดยการใช้ประโยชน์จากช่องโหว่นี้จะช่วยให้ผู้โจมตีสามารถสั่งรันโค้ดที่เป็นอันตรายบนอุปกรณ์ด้วยสิทธิ์สูงสุดได้
แม้ว่า phone adapters เหล่านี้อาจถูกใช้ในหลาย ๆ องค์กร แต่ก็มีแนวโน้มที่ส่วนใหญ่จะไม่ได้เชื่อมต่อกับอินเทอร์เน็ต ซึ่งทำให้ช่องโหว่เหล่านี้มักจะถูกโจมตีได้จาก local network เท่านั้น อย่างไรก็ตามหากสามารถเข้าถึงอุปกรณ์เหล่านี้ได้ ก็อาจทำให้ผู้โจมตีสามารถแพร่กระจายไปทั่วเครือข่ายของเหยื่อได้โดยไม่ถูกตรวจสอบ เนื่องจากซอฟต์แวร์รักษาความปลอดภัยมักจะไม่ได้ทำการตรวจสอบอุปกรณ์ลักษณะนี้
ปัจจุบันเนื่องจาก Cisco SPA112 end of life ไปแล้ว ทำให้ทาง Cisco จะไม่ support อีกต่อไป รวมถึงก็จะไม่ได้รับการอัปเดตแพตซ์ด้านความปลอดภัยอีกด้วย นอกจากนี้ Cisco ยังไม่ได้ระบุถึงวิธีการลดผลกระทบจากช่องโหว่ CVE-2023-20136 นี้แต่อย่างใด
ประกาศดังกล่าวของ Cisco มีวัตถุประสงค์เพื่อสร้างความตระหนักถึงความจําเป็นในการเปลี่ยน phone adapters ที่ได้รับผลกระทบ หรือเพิ่มความปลอดภัยเพื่อป้องกันการโจมตี โดยรุ่นที่แนะนําให้ใช้ในปัจจุบัน คือ phone adapters อะนาล็อก Cisco ATA 190 series ซึ่งมีวันที่สิ้นสุดอายุการใช้งานที่กําหนดในวันที่ 31 มีนาคม 2024
ทาง Cisco ยังไม่พบการโจมตีโดยใช้ช่องโหว่ CVE-2023-2013 แต่ก็อาจมีความเป็นไปได้ในอนาคต ดังนั้นแนะนําผู้ดูแลระบบควรดำเนินการป้องกันที่เหมาะสมอย่างเร่งด่วน
ที่มา : bleepingcomputer
You must be logged in to post a comment.