Ngày 02 tháng 3 năm 2023Ravie LakshmananAn ninh doanh nghiệp / An ninh mạng
cisco vào thứ Tư đã tung ra các bản cập nhật bảo mật để giải quyết một lỗ hổng nghiêm trọng ảnh hưởng đến các sản phẩm IP Phone 6800, 7800, 7900 và 8800 Series của họ.
Lỗ hổng, được theo dõi là CVE-2023-20078, được xếp hạng 9,8/10 trên hệ thống chấm điểm CVSS và được mô tả là lỗi chèn lệnh trong giao diện quản lý dựa trên web phát sinh do không đủ xác thực thông tin đầu vào do người dùng cung cấp.
Việc khai thác thành công lỗi này có thể cho phép kẻ tấn công từ xa, không được xác thực thực hiện các lệnh tùy ý được thực thi với các đặc quyền cao nhất trên hệ điều hành cơ bản.
“Kẻ tấn công có thể khai thác lỗ hổng này bằng cách gửi một yêu cầu được tạo thủ công tới giao diện quản lý dựa trên web”, Cisco cho biết trong một cảnh báo được công bố vào ngày 1 tháng 3 năm 2023.
Công ty cũng đã vá lỗ hổng từ chối dịch vụ (DoS) mức độ nghiêm trọng cao ảnh hưởng đến cùng một nhóm thiết bị, cũng như Điện thoại hội nghị IP hợp nhất của Cisco 8831 và Điện thoại IP hợp nhất 7900 Series.
CVE-2023-20079 (điểm CVSS: 7,5), cũng là kết quả của việc xác thực không đầy đủ thông tin đầu vào do người dùng cung cấp trong giao diện quản lý dựa trên web, có thể bị kẻ thù lợi dụng để gây ra tình trạng DoS.
Mặc dù Cisco đã phát hành Phần sụn đa nền tảng của Cisco phiên bản 11.3.7SR1 để giải quyết CVE-2023-20078, nhưng công ty cho biết họ không có kế hoạch khắc phục CVE-2023-20079, vì cả hai mẫu Điện thoại Hội nghị IP Hợp nhất đều đã hết hạn sử dụng ( EoL).
Công ty cho biết họ không biết về bất kỳ nỗ lực khai thác độc hại nào nhắm vào lỗ hổng. Nó cũng cho biết các lỗ hổng đã được phát hiện trong quá trình kiểm tra bảo mật nội bộ.
Lời khuyên được đưa ra khi Aruba Networks, một công ty con của Hewlett Packard Enterprise, đã phát hành một bản cập nhật cho ArubaOS để khắc phục nhiều lỗ hổng tràn bộ đệm dựa trên ngăn xếp và tiêm lệnh không được xác thực (từ CVE-2023-22747 đến CVE-2023-22752, điểm CVSS: 9,8 ) có thể dẫn đến việc thực thi mã.
