Cisco ha abordado una vulnerabilidad de seguridad crítica que se encuentra en la interfaz de usuario web de varios modelos de teléfonos IP que los atacantes remotos y no autenticados pueden explotar en ataques de ejecución remota de código (RCE).
La falla RCE (CVE-2023-20078) permite a los atacantes inyectar comandos arbitrarios que se ejecutarán con privilegios de root luego de una explotación exitosa.
“Una explotación exitosa podría permitir que el atacante ejecute comandos arbitrarios en el sistema operativo subyacente de un dispositivo afectado”, dijo Cisco hoy.
La compañía también reveló hoy una segunda vulnerabilidad de alta gravedad (CVE-2023-20079) de la que se puede abusar para desencadenar condiciones de denegación de servicio (DoS).
Ambos errores se deben a una validación insuficiente de la entrada proporcionada por el usuario y pueden explotarse mediante solicitudes malintencionadas enviadas a la interfaz de administración basada en la web del dispositivo de destino.
Las vulnerabilidades de seguridad fueron descubiertas por Zack Sanchez del Grupo de Iniciativas de Seguridad Avanzada de Cisco (ASIG) durante las pruebas de seguridad internas.
La lista de dispositivos afectados incluye dispositivos de las series Cisco IP Phone 6800, 7800 y 8800 con firmware multiplataforma (vulnerable a ataques RCE y DoS), y Unified IP Conference Phone 8831, Unified IP Conference Phone 8831 con firmware multiplataforma y Unified IP Teléfono Serie 7900 (solo vulnerable a ataques DoS).
El Equipo de respuesta a incidentes de seguridad de productos (PSIRT) de la compañía agregó que no había visto evidencia de intentos de explotar esta falla de seguridad en los ataques.
La vulnerabilidad de denegación de servicio sigue sin parchar
Si bien Cisco lanzó actualizaciones de seguridad para abordar la vulnerabilidad CVE-2023-20078 RCE, la compañía dijo que no lanzaría parches para corregir la falla CVE-2023-20079 DoS.
«Cisco Unified IP Phone 7900 Series y Cisco Unified IP Conference Phone 8831 han entrado en el proceso de fin de vida», explicó la compañía.
Cisco también anunció en diciembre que lanzaría parches para una vulnerabilidad de día cero de alta gravedad (CVE-2022-20968) con un código de explotación pública que se encuentra en la función de procesamiento del Protocolo de descubrimiento de Cisco (CDP) de los teléfonos IP de Cisco que ejecutan las series 7800 y 8800. firmware.
Si bien aún no está disponible una actualización de seguridad para CVE-2022-20968, se recomienda a los administradores que deshabiliten CDP en los dispositivos de teléfonos IP afectados que admitan el Protocolo de detección de capa de enlace (LLDP) para eliminar el vector de ataque.
En febrero de 2020, Cisco reparó otras cinco vulnerabilidades RCE y DoS en Cisco Discovery Protocol, conocidas colectivamente como CDPwn y que podrían afectar a decenas de millones de dispositivos empresariales.
Fuente y redacción: bleepingcomputer