Cisco phone adapters vulnerable to RCE attacks, no fix available
2023/05/04 BleepingComputer — Cisco SPA112 2-Port Phone Adapters の、Web ベースの管理インターフェイスに存在する脆弱性の悪用により、認証されていないリモートの攻撃者が、デバイス上で任意のコードを実行できることが公表された。この脆弱性 CVE-2023-20126 (CVSS:9.8:Critical) は、ファームウェアのアップグレード機能における、認証プロセスの欠落が原因となっている。
Cisco のセキュリティ情報には、「影響を受けるデバイスを、細工されたバージョンのファームウェアでアップグレードする攻撃者により、この脆弱性は悪用される。そして、悪用に成功した攻撃者は、影響を受けるデバイス上の正規の権限で、任意のコードを実行できる」と記されている。
これらの Phone Adapter は、アナログ電話をアップグレードせずに、VoIP ネットワークに組み込むという、一般的な選択肢である。
これらの Adapter が、数多くの組織で使用されているかもしれないが、インターネットに公開されていない可能性が高い一方で、その欠陥はローカル・ネットワークからの悪用が可能となる。
しかし、セキュリティ・ソフトウェアが、この種のデバイスを監視することは一般的ではないため、これらのデバイスへのアクセスに成功した脅威アクターは、検出を回避しながらネットワーク上で横展開することが可能となる。
Cisco SPA112 は耐用年数を迎えたため、ベンダーによるサポートは終了しており、セキュリティ・アップデートを受けることができない。また、Cisco は CVE-2023-20126 に対する緩和策を提供していない。
Cisco のセキュリティ情報が推奨するのは、影響を受ける Phone Adapter の交換である。また、攻撃から保護するための、追加のセキュリティ層の実装も、必要だと主張している。
推奨される代替えモデルは Cisco ATA 190 Series Analog Telephone Adapter だが、その EoL は 2024年3月31日となっている。
Cisco は、脆弱性 CVE-2023-20136 が、野放し状態で悪用されている事例を把握していないが、いつ変化してもおかしくないので、管理者に対しては、緊急に適切な対策を講じることが推奨される。
かつて、人気を博したデバイスの深刻な欠陥は、攻撃に利用されるケースが多く、大規模なセキュリティ・インシデントにつながる可能性がある。
Cisco の EoL デバイスにおける脆弱性の問題です。このブログ内を検索してみたら、似たような話として、以下の記事が見つかりました。
2023/01/20:Cisco:脆弱性が放置の2万台の EoL VPN ルーター
2022/09/07:Cisco の EoL ルータ群:ゼロデイ脆弱性が放置される
2022/06/16:Cisco VPN のゼロデイ:EOL デバイスはサポートされない
IoT OT Security News 
You must be logged in to post a comment.