Cisco ออกมาแจ้งเตือนถึงช่องโหว่ Zero-days การเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล (RCE) ระดับ Critical ซึ่งเป็นช่องโหว่ในอินเตอร์เฟซการจัดการผ่านเว็บของ IP phones รุ่น Small Business SPA 300 และ SPA 500 ที่หมดอายุการสนับสนุนไปแล้ว (end-of-life)

(more…)

Cisco ได้ประกาศแพตซ์อัปเดตช่องโหว่ระดับ critical ที่ถูกพบใน Web UI ของ IP phone หลายรุ่น ซึ่งส่งผลให้สามารถหลีกเลี่ยงการตรวจสอบสิทธิ และสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้ (Remote Code Execution)

โดยช่องโหว่มีหมายเลข CVE-2023-20078 ซึ่งเป็นช่องโหว่ที่สามารถแทรกคำสั่งที่เป็นอันตรายไปยังระบบ รวมถึงสามารถยกระดับสิทธิเป็น Root ภายหลังจากที่สามารถโจมตีสำเร็จ

โดย Cisco ยังได้ประกาศช่องโหว่ที่มีหมายเลข CVE-2023-20079 ซึ่งเป็นช่องโหว่ที่สามารถใช้ในการทำ Denial-of-Service (DoS) ได้

ซึ่งช่องโหว่ทั้งสองรายการทำให้เกิดข้อผิดพลาดในการตรวจสอบสิทธิ ทำให้สามารถถูกโจมตีด้วย request ที่เป็นอันตรายที่ถูกส่งไปยัง web-based management interface ของเป้าหมาย

ช่องโหว่ดังกล่าวถูกค้นพบ โดย Zack Sanchez จาก Cisco Advanced Security Initiatives Group (ASIG) ระหว่างการทดสอบความปลอดภัยของระบบภายใน

จากการตรวจสอบของทีม Product Security Incident Response Team (PSIRT) ยังไม่พบการโจมตีจากช่องโหว่ดังกล่าว

อุปกรณ์ที่ได้รับผลกระทบ

รายการอุปกรณ์ที่ได้รับผลกระทบจากช่องโหว่ มีดังนี้

Cisco IP Phone 6800, 7800 และ 8800 series ที่มีเฟิร์มแวร์หลายแพลตฟอร์ม (เสี่ยงต่อการโจมตีทั้ง RCE และ DoS)
Cisco Unified IP Conference Phone 8831
Cisco Unified IP Conference Phone 8831 Multiplatform Firmware
Cisco Unified IP Phone 7900 Series (เสี่ยงต่อการโจมตี DoS)

โดย Cisco จะออกอัปเดตแก้ไขช่องโหว่ CVE-2023-20078 แต่จะไม่ออกอัปเดตแก้ไขช่องโหว่ CVE-2023-20079 เนื่องจาก Cisco Unified IP Phone 7900 Series และ Cisco Unified IP Conference Phone 8831 เป็นอุปกรณ์ที่สิ้นสุดอายุการใช้งานแล้ว (end-of-life)

 

ที่มา : bleepingcomputer