思科:注意这些已达生命周期IP电话中的RCE 0day
2024-8-9 15:21:13 Author: mp.weixin.qq.com(查看原文) 阅读量:2 收藏

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

思科提醒称,已达生命周期的 Small Business SPA 300和SPA500 系列IP电话中存在多个严重的远程代码执行 (RCE) 0day 漏洞。思科并未发布修复方案和缓解建议,因此用户必须尽快升级至更新的以及受活跃支持的机型。
漏洞详情

思科共发现了五个漏洞,其中三个是严重级别(CVSS v3.1评分9.8)和两个高危漏洞(CVSS v3.1 评分7.5)。这些漏洞的编号是CVE-2024-20450、CVE-2024-20452和CVE-2024-20454。

这些缓冲溢出漏洞可导致未认证的远程攻击者,通过向目标设备发送特殊构造的HTTP 请求,以 root 权限在底层 OS 上执行任意命令。思科在安全通告中提到,“成功利用可导致攻击者溢出一个内部缓冲区并以root权限执行任意命令。”

这两个高危漏洞是CVE-2024-20451和CVE-2024-20453,是由对HTTP数据包上的检查不当导致的,可导致恶意数据包在受影响设备上引发拒绝服务。思科表示,所有这五个漏洞影响在SPA300和SPA500 IP 电话上运行的所有软件发布,不管软件的配置如何,它们之间是独立的,即可遭单独利用。

支持终止

思科支持门户提到,SPA300 的最后一次出售时间是2019年2月,并在三年后终止支持。对于SPA 500而言,思科在2020年6月1日起终止出售。不过值得注意的是,思科仍然为服务合同或特殊保证条件的客户保留2025年5月31日前的SPA500服务,但SPA300自2024年2月29日起就不再受支持。

这两款设备均不会获得安全更新,因此建议用户升级至更新的受支持机型,如Cisco IP Phone 8841或Cisco 600系列设备。思科还提供“技术迁移计划”,允许用户交易符合条件的产品并获得购买新设备的积分。无法确定选择哪种方式的用户可联系思科的技术支持中心。

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com

推荐阅读

国家黑客组织利用思科两个0day攻击政府网络

罗克韦尔自动化称 Stratix 交换机受思科0day影响

思科新0day 被用于在数千台设备上植入恶意后门 Lua

思科披露称严重的 IOS XE 认证绕过0day已遭利用

高危无补丁0day影响思科数据中心交换机,可导致加密流量遭篡改

原文链接

https://www.bleepingcomputer.com/news/security/google-fixes-android-kernel-zero-day-exploited-in-targeted-attacks/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247520401&idx=2&sn=bad61fd4a7dd0064d773564100fa0d93&chksm=ea94a1fbdde328ed9792a7787f0942bd8375dfb3d8e89c5d0413c4d48ad449acff958b59a1b2&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh