Что предлагает компания, если исправлений нет и не планируется.
Cisco предупредила пользователей о наличии нескольких уязвимостей нулевого дня в веб-интерфейсе управления IP-телефонами серий Small Business SPA 300 и SPA 500, которые уже сняты с производства. Обнаруженные 0day позволяют злоумышленнику удалённо выполнять произвольный код на устройствах.
Поскольку данные модели больше не поддерживаются, Cisco не выпустила обновления для устранения проблем и не предложила обходных решений. В связи с этим пользователям настоятельно рекомендуется как можно скорее перейти на более новые и поддерживаемые модели телефонов.
Эксперты Cisco выявили 5 уязвимостей:
Все недостатки затрагивают любое программное обеспечение, работающее на IP-телефонах серий SPA 300 и SPA 500, вне зависимости от конфигурации устройства. Каждая из уязвимостей может быть использована отдельно, что ещё больше увеличивает риски.
Поддержка SPA 300 была завершена в феврале 2022 года, а SPA 500 – в июне 2020 года. Несмотря на то, что SPA 500 ещё будет покрываться сервисными контрактами и особыми гарантийными условиями до конца мая 2025 года, для моделей SPA 300 обновления безопасности больше не предоставляются с февраля 2024 года. Переход на новые модели – Cisco IP Phone 8841 или устройства из серии Cisco 6800, – становится критически важным шагом для защиты корпоративных сетей.
Одно найти легче, чем другое. Спойлер: это не темная материя