Critical Flaw in Cisco IP Phone Series Exposes Users to Command Injection Attack
2023/03/02 TheHackerNews — 3月1日の水曜日に Cisco が発表したのは、IP Phone 6800/7800/7900/8800 シリーズに影響を及ぼす、深刻な欠陥に対処するためのセキュリティ・アップデートである。この脆弱性 CVE-2023-20078 の CVSS 値は 9.8 と評価されており、Web ベースの管理インターフェイスにおける、不十分なユーザー入力検証に起因するコマンド・インジェクションのバグだと説明されている。
このバグの悪用に成功した未認証のリモート攻撃者は、基礎となるオペレーティング・システム上の最高特権で実行される、任意のコマンドを注入することが可能となる。
Cisco は、「攻撃者は、Web ベース管理インターフェイスに対して、細工したリクエストを送信することで、この脆弱性を悪用できる」と、2023年3月1日に発表したアラートの中で述べている。
また、同じデバイスセットである、Cisco Unified IP Conference Phone 8831/Unified IP Phone 7900 シリーズに影響を及ぼす、サービス拒否 (DoS) の脆弱性もパッチが適用されている。
脆弱性 CVE-2023-20079 (CVSS:7.5) も、Web ベース管理インターフェイスにおける、不十分なユーザー入力検証悪用されると、DoS 状態を引き起こす可能性がある。
Cisco は、脆弱性 CVE-2023-20078 を解決するために、Cisco Multiplatform Firmware version 11.3.7SR1 をリリースしたが、Unified IP Conference Phone の両モデルは End-of-Life (EoL). に入っているため、CVE-2023-20079 を修正する予定はないとしている。
同社は、この脆弱性の悪用の試みについては把握していないとしている。また、この欠陥は社内のセキュリティ・テスト中に発見されたものだとしている。
昨日には、Hewlett Packard Enterprise の子会社である Aruba Networks が、未認証の驚異アクターによるコード実行につながる、ArubaOS のコマンド・インジェクションとスタック・バッファオーバーフローの脆弱性 CVE-2023-22747〜CVE-2023-22752 (CVSS:9.8) に対して、修正のためのアップデートを発表したばかりである。
Cisco に脆弱性ということで、お隣のキュレーション・チームに聞いてみたら、3月2日にレポート済みとのことでした。今回も、Web ベースの管理インターフェイスに関連する欠陥ですが、ここが Cisco の脆弱性多発地帯だといっていました。なお、文中にもあるように、昨日である 2023/03/01 に「ArubaOS の深刻な脆弱性 CVE-2023-22747 などが FIX:RCE にいたる恐れ」をポストしています。
2023/02/17:Cisco ClamAV の深刻な脆弱性
2023/02/01:Industrial アプライアンスの脆弱性
2023/01/20:VPN ルータ群:2万台の EoL デバイス
2023/01/19:Cisco の SQLi 脆弱性 CVE-2023-20010
2023/01/11:Cisco Router に深刻な脆弱性
IoT OT Security News 
You must be logged in to post a comment.