سیسکو به کاربران خود هشدار داده است تلفنهای IP قدیمی که دیگر تحت پشتیبانی این شرکت قرار ندارند، دربرابر حملات سایبری بسیار آسیبپذیرند.
بهگزارش تکناک، سیسکو دربارهی وجود چندین آسیبپذیری بحرانی اجرای کد از راه دور در رابط مدیریت مبتنیبر وب تلفنهای IP سری SPA 300 و SPA 500 مخصوص کسبوکارهای کوچک که دیگر پشتیبانی نمیشوند، هشدار داده است.
بلیپینگ کامپیوتر مینوبسد که سیسکو برای این دستگاهها اصلاحیهای ارائه و راهکارهای کاهش خطر را نیز منتشر نکرده است؛ بنابراین، کاربران این محصولات باید در اسرع وقت به مدلهای جدیدتر و پشتیبانیشده مهاجرت کنند.
سیسکو پنج نقص امنیتی را فاش کرده است که سه مورد آن با درجهی بحرانی (امتیاز CVSS v3.1: 9.8) و دو مورد با درجهی بالا (امتیاز CVSS v3.1: 7.5) طبقهبندی شدهاند.
آسیبپذیریهای بحرانی با شناسههای CVE-2024-20450 و CVE-2024-20452 و CVE-2024-20454 ردیابی میشوند. این آسیبپذیریهای سرریز بافر به مهاجم از راه دور و بدون نیاز به احراز هویت اجازه میدهند تا با ارسال درخواست HTTP خاص به دستگاه هدف، دستورهای دلخواه را با امتیازهای ریشه روی زیرسیستمعامل اجرا کند.
سیسکو در این اطلاعیه هشدار میدهد:
سوءاستفادهی موفق میتواند به مهاجم اجازه دهد تا بافر داخلی را سرریز و دستورهای دلخواه را در سطح امتیاز ریشه اجرا کند.
دو نقص با شدت بالا نیز CVE-2024-20451 و CVE-2024-20453 نام دارند. این نقصها ناشی از بررسی ناکافی بستههای HTTP است که به بستههای مخرب اجازه میدهد تا باعث اختلال در سرویس (DoS) در دستگاه آسیبپذیر شوند.
سیسکو خاطرنشان میکند که هر پنج نقص روی تمام نسخههای نرمافزاری تأثیر میگذارند که روی تلفنهای IP SPA 300 و SPA 500 اجرا میشوند و مستقل از یکدیگر هستند. این یعنی ممکن است از آنها جداگانه سوءاستفاده شود.
طبق پورتال پشتیبانی سیسکو، آخرین دستگاه SPA 300 در فوریهی ۲۰۱۹ به مشتریان فروخته شد و سه سال بعد، در فوریهی ۲۰۲۲، پشتیبانی از آن پایان یافت. فروش SPA 500 نیز در همان تاریخی که پشتیبانیاش پایان یافت، یعنی اول ژوئن ۲۰۲۰، متوقف شد.
گفتنی است که سیسکو تا ۳۱ می ۲۰۲۵ برای دارندگان قراردادهای خدمات یا شرایط گارانتی ویژه، همچنان از SPA 500 پشتیبانی میکند؛ اما از ۲۹ فوریهی ۲۰۲۴ پشتیبانی از SPA 300 قطع شده است.
هیچکدام از این دو مدل بهروزرسانی امنیتی دریافت نخواهند کرد؛ بنابراین به کاربران توصیه میشود که به مدلهای جدیدتر و پشتیبانیشده مانند Cisco IP Phone 8841 یا یکی از مدلهای سری Cisco 6800 مهاجرت کنند.
افزونبراین، سیسکو برنامهی TMP را ارائه میدهد که به مشتریان امکان میدهد تا محصولات واجدشرایط را برای دریافت اعتبار برای تجهیزات جدید تعویض کنند.