0day в IP-телефонах Cisco угрожают безопасности корпоративных сетей

Cisco предупредила пользователей о наличии нескольких уязвимостей нулевого дня в веб-интерфейсе управления IP-телефонами серий Small Business SPA 300 и SPA 500, которые уже сняты с производства. Обнаруженные 0day позволяют злоумышленнику удалённо выполнять произвольный код на устройствах.

Поскольку данные модели больше не поддерживаются, Cisco не выпустила обновления для устранения проблем и не предложила обходных решений. В связи с этим пользователям настоятельно рекомендуется как можно скорее перейти на более новые и поддерживаемые модели телефонов.

Эксперты Cisco выявили 5 уязвимостей:

• 3 ошибки с оценкой CVSS: 9.8 (CVE-2024-20450, CVE-2024-20452 и CVE-2024-20454) связаны с переполнением буфера, что позволяет удалённому атакующему без аутентификации отправлять специально сформированные HTTP-запросы и выполнять команды с root-привилегиями на целевом устройстве.
• 2 ошибки с оценкой CVSS: 7.5 (CVE-2024-20451 и CVE-2024-20453) вызваны недостаточными проверками HTTP-пакетов, что может привести к отказу в обслуживании (Denial of Service, DoS).

Все недостатки затрагивают любое программное обеспечение, работающее на IP-телефонах серий SPA 300 и SPA 500, вне зависимости от конфигурации устройства. Каждая из уязвимостей может быть использована отдельно, что ещё больше увеличивает риски.

Поддержка SPA 300 была завершена в феврале 2022 года, а SPA 500 – в июне 2020 года. Несмотря на то, что SPA 500 ещё будет покрываться сервисными контрактами и особыми гарантийными условиями до конца мая 2025 года, для моделей SPA 300 обновления безопасности больше не предоставляются с февраля 2024 года. Переход на новые модели – Cisco IP Phone 8841 или устройства из серии Cisco 6800, – становится критически важным шагом для защиты корпоративных сетей.