Cisco a mis en garde contre une faille de sécurité critique dans les adaptateurs téléphoniques SPA112 à 2 ports qui, selon lui, pourrait être exploitée par un attaquant distant pour exécuter du code arbitraire sur les appareils concernés.
Le problème, suivi comme CVE-2023-20126, est noté 9,8 sur un maximum de 10 sur le système de notation CVSS. La société a crédité Catalpa de DBappSecurity pour avoir signalé la lacune.
Le produit en cause permet de connecter des téléphones analogiques et des télécopieurs à un fournisseur de services VoIP sans nécessiter de mise à niveau.
« Cette vulnérabilité est due à un processus d’authentification manquant dans la fonction de mise à jour du micrologiciel », a déclaré la société. a dit dans un bulletin.
« Un attaquant pourrait exploiter cette vulnérabilité en mettant à niveau un appareil affecté vers une version spécialement conçue du micrologiciel. Un exploit réussi pourrait permettre à l’attaquant d’exécuter du code arbitraire sur l’appareil affecté avec tous les privilèges. »
Malgré la gravité de la faille, le fabricant d’équipements de réseau a déclaré qu’il n’avait pas l’intention de publier de correctifs car les appareils ont atteint le statut de fin de vie (EoL) au 1er juin 2020.
Il recommande plutôt aux utilisateurs de migrer vers un adaptateur de téléphone analogique de la gamme Cisco ATA 190, qui est configuré pour recevoir ses dernière mise à jour le 31 mars 2024. Il n’y a aucune preuve que la faille ait été exploitée de manière malveillante dans la nature.