The Hacker News 网站披露,近日思科发布了新的安全公告,指出 IP 电话(网络电话) 7800 和 8800 系列某个固件中存在高危漏洞,一旦攻击者成功利用该漏洞,或引发远程代码执行或拒绝服务(DoS)情况。
漏洞被追踪为 CVE-2022-20968(CVSS 评分:8.1),由 Qianxin Group Legendsec Codesafe 团队的 Qian Chen 发现并报告。据悉,漏洞产生的原因是在收到 Cisco 发现协议(CDP)数据包时,存在输入验证不足的情况,思科目前正在积极开发新补丁来解决漏洞问题。
注:通过运行 CDP 协议,思科设备能够在与它们直连的设备之间分享有关操作系统软件版本,以及 IP 地址,硬件平台等相关信息。(默认情况下自动开启。)
漏洞最早要明年一月才能修复
2022 年 12 月 8 日,Cisco 在一份公告中表示,潜在攻击者可以通过向受影响设备发送“精心制作”的思科发现协议流量来利用这一漏洞,若成功利用漏洞,潜在攻击者能够造成堆栈溢出,导致受影响设备上可能出现远程代码执行或拒绝服务(DoS)的情况。
值得一提的是,漏洞主要影响运行固件版本 14.2 及更早版本的Cisco IP 电话,思科方面声称目前暂时没有更新补丁和解决方案来解决该问题,但公司正在加紧开发更新补丁,计划在 2023 年 1 月发布。
此外,在同时支持 CDP 和链路层发现协议(LLDP)用于邻居发现的部署中,用户可以选择禁用 CDP,以便受影响的设备能够切换到 LLDP,向局域网(LAN)中直连的对等设备公布其身份和能力。这种变化可能会带来其它安全风险,需要企业努力评估设备可能会受到的任何潜在影响。
最后,思科强调,CVE-2022-20968 漏洞虽已被公开披露,但迄今为止,没有证据表明该漏洞在野外被积极滥用。
文章来源:
thehackernews.com/2022/12/cisco-warns-of-high-severity-unpatched.html