تاریخ صدور پنجشنبه 15 دسامبر 2022 | آخرین بررسی پنجشنبه 15 دسامبر 2022 |
فروشنده سیسکو | محصول تلفن اینترنتی |
سطح شدت اوج |
خلاصه:
سیسکو اعلام کرد که یک آسیبپذیری با شدت بالا با کد CVE-2022-20968 تلفنهای اینترنتی سری 7800 و 8800 این شرکت را تحت تأثیر قرار میدهد. آسیبپذیری در توانایی مدیریت پروتکل Cisco Discovery در میانافزار تلفنهای اینترنتی سری 7800 و 8800 این شرکت امکان استفاده از آنها را فراهم میکند. مهاجمان برای ایجاد خطای سرریز پشته در دستگاههای آسیبپذیر غیرقانونی.
این آسیب پذیری به دلیل عدم بررسی دقیق بسته های دریافتی توسط پروتکل Discovery سیسکو است. مهاجمان می توانند با ارسال ترافیک جعلی این پروتکل به یک دستگاه آسیب پذیر از این آسیب پذیری سوء استفاده کنند.
مجرمان سایبری که با موفقیت از این آسیبپذیری سوء استفاده کردند، یک خطای سرریز پشته ایجاد میکنند که میتواند باعث اجرای کد از راه دور یا حمله انکار سرویس به دستگاههای آسیبپذیر شود. تیم پاسخگویی به رویداد امنیت محصول سیسکو از کد سوء استفاده اثبات مفهوم این آسیب پذیری آگاه است.
کد آسیب پذیری | محصولات تحت تأثیر | نتیجه CVSS | احتمال سوء استفاده |
CVE-2022-20968 | گوشی های اینترنتی سری 7800 گوشی های اینترنتی سری 8800 (به جز تلفن اینترنت بی سیم سیسکو 8821) نسخه 14.2 سفتافزار و نسخههای قبلی تحت تأثیر این آسیبپذیری قرار دارند | 8.1 | این است |
توصیه ها:
به گفته شرکت سیسکو: “پچ امنیتی این آسیب پذیری در ژانویه 2023 منتشر خواهد شد، اما یک راه حل موقت برای آن منتشر شده است که در وب سایت رسمی سیسکو موجود است.”
منابع:
- آسیب پذیری سرریز پشته سیسکو IP Phone سری 7800 و 8800 Cisco Discovery Protocol
- سیسکو از اکسپلویت صفر روز تلفن IP با شدت بالا رونمایی کرد