Cisco a révélé une vulnérabilité dans l’interface de gestion Web des adaptateurs téléphoniques à 2 ports Cisco SPA112, permettant à un attaquant distant non authentifié d’exécuter du code arbitraire sur les appareils.

Suivie comme CVE-2023-20126 et ayant un score CVSS « critique » de 9,8, cette vulnérabilité est causée par un processus d’authentification manquant dans la fonction de mise à niveau du micrologiciel.

« Un attaquant pourrait exploiter cette vulnérabilité en mettant à niveau un appareil affecté vers une version spécialement conçue du micrologiciel », lit-on dans le bulletin de sécurité de Cisco.

« Un exploit réussi pourrait permettre à l’attaquant d’exécuter du code arbitraire sur l’appareil affecté avec tous les privilèges. »

Ces adaptateurs téléphoniques sont un choix populaire dans l’industrie pour intégrer des téléphones analogiques dans les réseaux VoIP sans mise à niveau.

Bien que ces adaptateurs puissent être utilisés dans de nombreuses organisations, ils ne sont probablement pas exposés à Internet, ce qui rend ces failles principalement exploitables à partir du réseau local.

Cependant, l’accès à ces appareils pourrait aider un acteur malveillant à se propager latéralement sur un réseau sans être détecté, car les logiciels de sécurité ne surveillent généralement pas ces types d’appareils.

Étant donné que Cisco SPA112 a atteint la fin de sa durée de vie, il n’est plus pris en charge par le fournisseur et ne recevra pas de mise à jour de sécurité. En outre, Cisco n’a fourni aucune atténuation pour CVE-2023-20136.

Le bulletin de sécurité de Cisco vise à sensibiliser à la nécessité de remplacer les adaptateurs téléphoniques concernés ou de mettre en place des couches de sécurité supplémentaires pour les protéger des attaques.

Le modèle de remplacement recommandé est l’adaptateur de téléphone analogique de la gamme Cisco ATA 190, dont la date de fin de vie est le 31 mars 2024.

La société n’a connaissance d’aucun cas d’exploitation active de CVE-2023-20136 dans la nature, mais cela pourrait changer à tout moment, il est donc conseillé aux administrateurs de prendre de toute urgence les précautions appropriées.

Les failles de gravité critique sur des appareils autrefois populaires sont des candidats potentiels pour une utilisation dans des attaques, pouvant conduire à des incidents de sécurité à grande échelle.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *