Cisco avertit de plusieurs jours zéro d’exécution de code à distance critique dans l’interface de gestion basée sur le Web des téléphones IP SPA 300 et SPA 500 en fin de vie pour les petites entreprises.
Le fournisseur n’a pas mis de correctifs à disposition pour ces appareils et n’a partagé aucun conseil d’atténuation, de sorte que les utilisateurs de ces produits devront passer à des modèles plus récents et activement pris en charge dès que possible.
Détails de la vulnérabilité
Cisco a révélé cinq failles, trois classées critiques (score CVSS v3.1: 9,8) et deux classées comme de gravité élevée (score CVSS v3. 1: 7,5).
Les vulnérabilités critiques sont suivies sous les noms CVE-2024-20450, CVE-2024-20452 et CVE-2024-20454.
Ces vulnérabilités de dépassement de tampon permettent à un attaquant distant non authentifié d’exécuter des commandes arbitraires sur le système d’exploitation sous-jacent avec des privilèges root en envoyant une requête HTTP spécialement conçue à la machine cible.
« Un exploit réussi pourrait permettre à l’attaquant de déborder un tampon interne et d’exécuter des commandes arbitraires au niveau des privilèges root », prévient Cisco dans le bulletin.
Les deux failles de gravité élevée sont CVE-2024-20451 et CVE-2024-20453. Ils sont causés par des vérifications inadéquates des paquets HTTP, qui permettent aux paquets malveillants de provoquer un déni de service sur le périphérique affecté.
Cisco note que les cinq failles ont un impact sur toutes les versions logicielles exécutées sur les téléphones IP SPA 300 et SPA 500, quelle que soit leur configuration et sont indépendantes les unes des autres, ce qui signifie qu’elles peuvent être exploitées individuellement.
Fin du support
Selon le portail de support de Cisco, SPA 300 a été vendu pour la dernière fois aux clients en février 2019 et a atteint sa fin de support trois ans plus tard, en février 2022.
Pour SPA 500, le fournisseur a cessé de vendre le matériel à la date même où il a atteint sa fin de support, le 1er juin 2020.
Il convient de noter que Cisco couvre toujours SPA 500 jusqu’au 31 mai 2025 pour les titulaires de contrats de service ou de conditions de garantie spéciales, mais SPA 300 n’est plus couvert depuis le 29 février 2024.
Aucun des deux ne recevra de mise à jour de sécurité, il est donc conseillé aux utilisateurs de passer à des modèles plus récents et pris en charge, comme le téléphone IP Cisco 8841 ou un modèle de la gamme Cisco 6800.
Cisco propose également un Programme de migration technologique (TMP), qui permet aux clients d’échanger des produits éligibles et de recevoir des crédits pour de nouveaux équipements.
Ceux qui ne sont pas sûrs de leurs options sont invités à contacter le Centre d’assistance technique de Cisco (TAC).