Cisco discloses high-severity IP phone bug with exploit code
2022/12/08 BleepingComputer — 今日、Cisco が公開した脆弱性は、最新世代の IP Phone に影響し、リモート・コード実行/DoS 攻撃につながる深刻度の高いものである。同社は、「Cisco の Product Security Incident Response Team (PSIRT) が、PoC エクスプロイト・コードが利用可能であることを認識し、また、パブリックに議論されている」と、この脆弱性について警告している。ただし、現時点においては、この脆弱性を悪用する攻撃の試みは認識していないと、PSIRT は付け加えている。
Cisco がアドバイザリの公開した時点では、この脆弱性に対応するセキュリティ・アップデートはリリースされておらず、2023年1月までパッチは提供されないとのことだ。
この脆弱性 CVE-2022-20968 は、受信した Cisco Discovery Protocol パケットに対しする不十分な入力検証に起因するものであり、認証されていない隣接した攻撃者がスタック・オーバーフローを引き起こす可能性があるとされる。
影響を受けるデバイスは、7800/8800 Series のファームウェア 14.2 以下を実行している Cisco IP Phone である。
この脆弱性は、QI-ANXIN Group Legendsec の Codesafe Team に所属する Qian Chen により、Cisco に報告された。
一部のデバイスで緩和措置が利用可能
CVE-2022-20968 に対応するセキュリティ・アップデートや回避策は、現時点では提供されていない。しかし Cisco は、潜在的な攻撃から環境内の脆弱なデバイスを保護するために、管理者向けに緩和策を提供している。
この緩和策を適用するには、Link Layer Discovery Protocol (LLDP) をサポートする IP Phone 7800/8800 Series デバイス上で、Cisco Discovery Protocol を無効にする必要がある。
木曜日のアドバイザリで Cisco は、「対象となるデバイスは、音声 VLAN/電源ネゴシエーションなどの設定データの検出に LLDP を使用する。それらを変更するのは容易ではないため、デバイスへの潜在的な影響や、この変更を展開するための最適なアプローチを、管理者は評価/熟考する必要がある」と説明している。
この緩和策を導入しようとする管理者には、その有効性と自身の環境への適用性をテストすることが推奨される。Cisco は顧客に対して、「各自の環境への適用性/環境への影響を評価する前に、いかなる回避策や緩和策も導入してはならない」と警告している。
この脆弱性 CVE-2022-20968 が出回っているようなので、Exploit DB を検索しましたが、見つかりませんでした。最近の Cisco の脆弱性ですが、2022年10月25日の「Cisco AnyConnect の脆弱性 CVE-2020-3433 などの悪用を検出:CISA KEV リストにも追加」や、10月4日の「Cisco ISE の深刻な脆弱性 CVE-2022-20961 などが FIX:OpenSSL の問題は調査中」、11月28日の「Cisco ISE の脆弱性 CVE-2022-20964:ワンクリックで悪用の可能性」などがあります。よろしければ、Cisco で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.