Af Eskil Sørensen, 12/12/22
Cisco informerede torsdag sine kunder om, at der arbejdes på patches til en alvorlig sårbarhed, der påvirker nogle af Ciscos IP-telefoner. Det skriver Security Week.
Fejlen har id’et CVE-2022-20968 og en CVSS-score på 8,1. Den påvirker Cisco IP-telefoner i 7800-serien og 8800-serien (undtagen 8821). Der er ingen tilgængelige opdateringsløsninger, men Cisco har oplyst en afbødningsmetode, som kan bruges, indtil patchet er tilgængeligt.
Selve fejlen er en stackbufferoverløb relateret til Discovery Protocol-behandlingsfunktionen. Den kan udnyttes af en uautoriseret angriber ved at sende specialfremstillede Discovery Protocol-pakker til den målrettede enhed. Udnyttelse kan føre til vilkårlig kodeudførelse eller en denial-of-service (DoS)-tilstand.
Cisco IP-telefoner, der kører firmwareversion 14.2 og tidligere, er berørt. En patch er planlagt til januar 2023.0
Cisco oplyser ifølge Security Week, at man ikke er bekendt med aktuelle ondsindede angreb, men bemærker at fejlen er blevet ’offentligt diskuteret’, og en proof-of-concept (PoC) udnyttelse er tilgængelig. Det kan tyde på, at angreb er på vej.
Links:
https://www.securityweek.com/cisco-working-patch-publicly-disclosed-ip-phone-vulnerability
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ipp-oobwrite-8cMF5r7U https://www.securityweek.com/cisco-working-patch-publicly-disclosed-ip-phone-vulnerability