Cisco, SPA112 2 Bağlantı Noktalı Telefon Adaptörlerinde, uzaktaki bir saldırgan tarafından etkilenen cihazlarda rasgele kod yürütmek için kullanılabileceğini söylediği kritik bir güvenlik açığı konusunda uyarıda bulundu.
Sorun, şu şekilde izlenir: CVE-2023-20126, CVSS puanlama sisteminde maksimum 10 üzerinden 9,8 olarak derecelendirilmiştir. Şirket, eksikliği bildirdiği için DBappSecurity’den Catalpa’ya itibar etti.
bu söz konusu ürün yükseltme gerektirmeden analog telefonları ve faks makinelerini bir VoIP servis sağlayıcısına bağlamayı mümkün kılar.
Şirket, “Bu güvenlik açığı, bellenim yükseltme işlevindeki eksik bir kimlik doğrulama sürecinden kaynaklanmaktadır” dedi. söz konusu bir bültende.
“Bir saldırgan, etkilenen bir cihazı hazırlanmış bir üretici yazılımı sürümüne yükselterek bu güvenlik açığından yararlanabilir. Başarılı bir istismar, saldırganın etkilenen cihazda tam ayrıcalıklarla rasgele kod yürütmesine izin verebilir.”
Ağ ekipmanı üreticisi, kusurun ciddiyetine rağmen, cihazların 1 Haziran 2020 itibarıyla kullanım ömrü sonu (EoL) durumuna gelmesi nedeniyle düzeltmeleri yayınlamayı düşünmediğini söyledi.
Bunun yerine, kullanıcıların, cihazını alacak şekilde ayarlanmış bir Cisco ATA 190 Serisi Analog Telefon Adaptörüne geçiş yapmaları öneriliyor. son Güncelleme 31 Mart 2024 tarihinde. Kusurun vahşi ortamda kötü niyetli olarak kullanıldığına dair hiçbir kanıt yok.
