A Cisco, empresa que fornece soluções em rede e comunicações, lançou atualizações de segurança na quarta-feira (1º de março de 2023) para resolver uma falha crítica que afeta seus produtos da série IP Phone 6800, 7800, 7900 e 8800. A vulnerabilidade, denominada CVE-2023-20078, recebeu uma classificação 9.8 de 10 no sistema de pontuação CVSS e é descrita como um bug de injeção de comando na interface de gerenciamento baseada na web devido à validação insuficiente da entrada fornecida pelo usuário.
A exploração bem-sucedida da falha pode permitir que um invasor remoto e não autenticado injete comandos arbitrários que são executados com os mais altos privilégios no sistema operacional subjacente. A Cisco alertou que “um invasor pode explorar essa vulnerabilidade enviando uma solicitação manipulada para a interface de gerenciamento baseada na web”.
A empresa também corrigiu uma vulnerabilidade de negação de serviço (DoS) de alta severidade que afeta o mesmo conjunto de dispositivos, bem como o Cisco Unified IP Conference Phone 8831 e a série Unified IP Phone 7900. A vulnerabilidade, denominada CVE-2023-20079, com uma pontuação CVSS de 7.5, também é resultado de validação insuficiente da entrada fornecida pelo usuário na interface de gerenciamento baseada na web.
Um adversário pode explorar a CVE-2023-20079 para causar uma condição de negação de serviço. Embora a Cisco tenha lançado a versão 11.3.7SR1 do firmware multiplataforma para resolver a CVE-2023-20078, a empresa não planeja corrigir a CVE-2023-20079, já que ambos os modelos Unified IP Conference Phone atingiram o fim da vida útil (EoL).
A Cisco afirmou não ter conhecimento de quaisquer tentativas de exploração maliciosa visando a falha. Além disso, a empresa declarou que as falhas foram descobertas durante testes internos de segurança. Essas informações chegam à tona ao mesmo tempo em que a Aruba Networks, uma subsidiária da Hewlett Packard Enterprise, lançou uma atualização do ArubaOS para remediar múltiplas falhas de injeção de comando não autenticado e estouro de buffer baseado em pilha (de CVE-2023-22747 a CVE-2023-22752, pontuação CVSS: 9.8) que podem resultar em execução de código.
Em resumo, essas atualizações de segurança são críticas para garantir a proteção dos dispositivos da Cisco contra possíveis ataques de injeção de comando e DoS que podem ser explorados por invasores remotos. É essencial que os usuários desses produtos implementem as correções o mais rápido possível para garantir a segurança de suas redes e sistemas.
Fonte: https://thehackernews.com/2023/03/critical-flaw-in-cisco-ip-phone-series.html
