Специалисты Cisco официально подтвердили, что компания не планирует устранять обнаруженную ранее уязвимость в VoIP-адаптерах SPA112. Такие устройства предназначены для интеграции аналоговых телефонов в стандартную инфраструктуру IP-телефонии. Модель, в которой обнаружили уязвимость, считается устаревшей, поэтому производитель рекомендует перейти на более современную модель ATA190.
Уязвимость, выявленная специалистами Dbappsecurity (Китай), позволяет осуществить удаленный запуск произвольного кода без прохождения аутентификации. Баг, который обнаружен веб-интерфейсе управления устройством, отнесен к категории критических уязвимостей (9,8 балла) и занесен в базы с кодом CVE-2023-20126.
Проблема находится в модуле обновления прошивки – обновление ПО можно запустить без прохождения защитных механизмов. Это позволяет создать собственную модификацию микропрограммы и удаленно загрузить ее на адаптер. Специалисты также отметили, что пока не зафиксированы инциденты с эксплуатацией данной бреши.
Cisco SPA112 – довольно популярное решение для удобного подключения устаревших устройств к сетям IP-телефонии. Его используют многие компании, однако в большинстве случаев инфраструктура не позволит получить доступ к адаптерам с внешнего сервера. В этом случае атаку необходимо будет осуществлять из локальной сети.
Основная опасность заключается в том, что при получении доступа к адаптеру злоумышленник может проникнуть в локальную сеть, при этом защитное ПО не зафиксирует стороннюю активность.
Представители Cisco также подтвердили, что самостоятельно закрыть уязвимость пользователи не смогут. Примечательно, что компания мотивирует это окончанием жизненного цикла устройства, хотя на официальном сайте указана дата прекращения поддержки SPA112 – 31 мая 2025 года.
Это уже не первый инцидент с отказом устранять уязвимости в оборудовании. В начале года стало известно, что в маршрутизаторах и RV042, RV042G, RV082 и RV016 также обнаружена уязвимость, при этом официальный ответ от компании представлял собой рекомендацию приобрести более новое сетевое устройство.
В сентябре 2022 года произошел еще один инцидент – в роутерах RV130W, RV215W, RV110W и RV130 обнаружена очередная уязвимость CVE-2022-20923, которая также не будет устранена. Ошибка кроется в функции IPSec VPN Server – если она активна, злоумышленник имеет возможность получить доступ к IPSec VPN, имея при этом максимальные привилегии.