آسیب پذیری تلفن های IP قدیمی سیسکو در برابر حملات سایبری

سیسکو به کاربران خود هشدار داده است تلفن‌های IP قدیمی که دیگر تحت پشتیبانی این شرکت قرار ندارند‌، در‌برابر حملات سایبری بسیار آسیب‌پذیرند.

به‌گزارش تک‌ناک، سیسکو درباره‌ی وجود چندین آسیب‌پذیری بحرانی اجرای کد از راه دور در رابط مدیریت مبتنی‌بر وب تلفن‌های IP سری SPA 300 و SPA 500 مخصوص کسب‌و‌کارهای کوچک که دیگر پشتیبانی نمی‌شوند، هشدار داده است.

بلیپینگ کامپیوتر می‌نوبسد که سیسکو برای این دستگاه‌ها اصلاحیه‌ای ارائه و راهکارهای کاهش خطر را نیز منتشر نکرده است؛ بنابراین، کاربران این محصولات باید در اسرع وقت به مدل‌های جدیدتر و پشتیبانی‌شده مهاجرت کنند.

سیسکو پنج نقص امنیتی را فاش کرده است که سه مورد آن با درجه‌ی بحرانی (امتیاز CVSS v3.1: 9.8) و دو مورد با درجه‌ی بالا (امتیاز CVSS v3.1: 7.5) طبقه‌بندی شده‌اند.

آسیب‌پذیری‌های بحرانی با شناسه‌های CVE-2024-20450 و CVE-2024-20452 و CVE-2024-20454 ردیابی می‌شوند. این آسیب‌پذیری‌های سرریز بافر به مهاجم از راه دور و بدون نیاز به احراز هویت اجازه می‌دهند تا با ارسال درخواست HTTP خاص به دستگاه هدف، دستورهای دلخواه را با امتیازهای ریشه روی زیرسیستم‌عامل اجرا کند.

سیسکو در این اطلاعیه هشدار می‌دهد:

سوءاستفاده‌ی موفق می‌تواند به مهاجم اجازه دهد تا بافر داخلی را سرریز و دستورهای دلخواه را در سطح امتیاز ریشه اجرا کند.

دو نقص با شدت بالا نیز CVE-2024-20451 و CVE-2024-20453 نام دارند. این نقص‌ها ناشی از بررسی ناکافی بسته‌های HTTP است که به بسته‌های مخرب اجازه می‌دهد تا باعث اختلال در سرویس (DoS) در دستگاه آسیب‌پذیر شوند.

سیسکو خاطرنشان می‌کند که هر پنج نقص روی تمام نسخه‌های نرم‌افزاری تأثیر می‌گذارند که روی تلفن‌های IP SPA 300 و SPA 500 اجرا می‌شوند و مستقل از یکدیگر هستند. این یعنی ممکن است از آن‌ها جداگانه سوء‌استفاده شود.

طبق پورتال پشتیبانی سیسکو، آخرین دستگاه SPA 300 در فوریه‌ی ۲۰۱۹ به مشتریان فروخته شد و سه سال بعد، در فوریه‌ی ۲۰۲۲، پشتیبانی از آن پایان یافت. فروش SPA 500 نیز در همان تاریخی که پشتیبانی‌اش پایان یافت، یعنی اول ژوئن ۲۰۲۰، متوقف شد.

گفتنی است که سیسکو تا ۳۱ می ۲۰۲۵ برای دارندگان قراردادهای خدمات یا شرایط گارانتی ویژه، همچنان از SPA 500 پشتیبانی می‌کند؛ اما از ۲۹ فوریه‌ی ۲۰۲۴ پشتیبانی از SPA 300 قطع شده است.

هیچ‌کدام از این دو مدل به‌روزرسانی امنیتی دریافت نخواهند کرد؛ بنابراین به کاربران توصیه می‌شود که به مدل‌های جدیدتر و پشتیبانی‌شده مانند Cisco IP Phone 8841 یا یکی از مدل‌های سری Cisco 6800 مهاجرت کنند.

افزون‌براین، سیسکو برنامه‌ی TMP را ارائه می‌دهد که به مشتریان امکان می‌دهد تا محصولات واجدشرایط را برای دریافت اعتبار برای تجهیزات جدید تعویض کنند.