思科多款IP电话存在严重的Web UI RCE漏洞,有一个将不修复
编译:代码卫士
思科修复了多款IP电话 Web UI 中的一个严重漏洞 (CVE-2023-20078),它可导致未认证远程攻击者用于远程代码执行攻击中。
该漏洞可使攻击者注入任意命令,在成功利用后通过root权限执行。思科指出,“成功利用可导致攻击者在受影响设备的底层操作系统上执行任意命令”。思科还在今天披露了第二个高危漏洞 (CVE-2023-20079),它可被滥用于触发拒绝服务条件。这两个漏洞均由对用户输入的验证不足导致,攻击者可向目标设备的web管理接口发送恶意构造的请求利用该漏洞。
这些漏洞是由思科ASIG团队的Zack Sanchez在内部安全测试时发现的。受影响设备包括:使用 Multiplatform Fireware的思科IP Phone 6800、7800和8800系列设备(同时易受RCE和DoS攻击)以及使用Multiplatform Firmware 的 Unified IP Conference Phone 8831、Unified IP Conference Phone 8831以及Unified IP Phone 7900系列(仅易受DoS攻击)。
思科的产品安全事件响应团队 (PSIRT) 表示,尚未发现该漏洞遭利用尝试的证据。
DoS 漏洞仍未被修复
虽然思科发布了CVE-2023-20078 RCE漏洞的安全更新,但表示不会发布CVE-2023-20079 DoS 漏洞的补丁。
思科解释称,“思科Unified IP Phone 7900系列和思科Unified IP Conference Phone 8831 已进入生命周期末期。”
思科还在去年12月称,将发布高危漏洞 (CVE-2022-20968) 的补丁和公开利用代码,该漏洞存在于运行7800和8800系列固件的思科IP电话的思科Discovery协议 (CDP) 处理特性中。
虽然CVE-2022-20968的安全更新尚未发布,但建议管理员禁用支持LLDP的受影响 IP Phone 设备上的CDP,删除攻击向量。2020年2月,思科修复了位于CDP中的五个其它RCE和DoS 漏洞。这五个漏洞被统称为 “CDPwn” 且可能影响数千万台企业设备。
https://www.bleepingcomputer.com/news/security/cisco-patches-critical-web-ui-rce-flaw-in-multiple-ip-phones
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。