Varovanie pred kritickými zraniteľnosťami v telefónnych zariadeniach Cisco
Národné centrum kybernetickej bezpečnosti SK-CERT varuje pred zraniteľnosťami v telefónnych zariadeniach od spoločnosti Cisco, ktoré by mohli byť zneužité vzdialenými neautentifikovanými útočníkmi na ľubovoľné vykonanie kódu (ACE) alebo odmietnutie dostupnosti služieb (DoS).
Kritické zraniteľnosti označené kódom CVE-2023-20078 a CVE-2023-20079 môžu umožniť neautentifikovanému, vzdialenému útočníkovi vykonanie ľubovoľného kódu alebo spôsobiť odmietnutie služby.
Kritické zraniteľnosti CVE-2023-20078 a CVE-2023-20079 dosahujú CVSS skóre 9.8.
Telefónne zariadenia od spoločnosti Cisco sú veľmi populárne a široko používané aj na Slovensku v najrôznejších typoch organizácií. Je možné očakávať, že uvedené zraniteľnosti budú zneužívané útočníkmi.
Scenáre zneužitia
Vzhľadom k špecifickému typu zraniteľných zariadení predpokladá SK-CERT tieto možné scenáre zneužitia:
- odpočúvanie telefonických hovorov – keďže zasiahnuté zariadenia sú IP telefóny, je možné očakávať odpočúvanie hovorov viacerými spôsobmi, vrátane presmerovania telefonickej komunikácie na IP ústredňu pod kontrolou útočníka,
- odpočúvanie komunikácie v miestnosti aj mimo telefonického hovoru – IP telefóny vedia otvoriť hovor s hlasitým odposluchom aj bez vyzváňania či akcie používateľa,
- automatizované telefonáty na platené linky – napadnuté zariadenia môžu iniciovať hovory na platené zahraničné telefónne čísla, s vysokými finančnými dopadmi,
- nepozorované sledovanie aktivít v organizácii a vykonávanie ďalších útokov – keďže zariadenia tohto typu obvykle nie sú predmetom monitoringu, je možné ich využiť na ďalšie útoky na organizáciu,
- účasť zariadení v sieti botnet – zraniteľnosti tohto typu boli v minulosti často zneužité tak, že napadnuté zariadenia začali útočiť na dalšie ciele, nakoľko boli napadnuté škodlivým kódom, ktorý ich zaradil do botnetovej siete,
- existujú takisto mnohé iné predstaviteľné scenáre zneužitia, vrátane znefunkčnenia telefónnych služieb. To môže byť kritické najmä vzhľadom k znefunkčneniu aj volaní na tiesňové linky.
Zasiahnuté zariadenia
Produkty zasiahnuté zraniteľnosťou CVE-2023-20078:
- IP Phone séria 6800 s multiplatformovým firmvérom
- IP Phone séria 7800 s multiplatformovým firmvérom
- IP Phone séria 8800 s multiplatformovým firmvérom
Produkty zasiahnuté zraniteľnosťou CVE-2023-20079:
- IP Phone séria 6800 s multiplatformovým firmvérom
- IP Phone séria 7800 s multiplatformovým firmvérom
- IP Phone séria 8800 s multiplatformovým firmvérom
- IP Conference Phone 8831
- IP Conference Phone 8831 s multiplatformovým firmvérom
- IP Phone 7900 Series
Spoločnosť Cisco vydala softvérovú aktualizáciu, ktorá opravuje opísané zraniteľnosti.
Národné centrum kybernetickej bezpečnosti SK-CERT v súvislosti s týmito zraniteľnosťami odporúča všetkým používateľom, ktorí používajú produkty v zraniteľnej verzii aby:
- bezodkladne aktualizovali firmvér vyššie uvedených zariadení na najnovšiu dostupnú verziu,
- po aktualizácii zmenili všetky heslá na telefónnych aparátoch (administrácia) aj na VoIP službu (hlas),
- skontrolovali sieťové logy so zameraním sa na podozrivú sieťovú aktivitu z telefónov pred okamihom aktualizácie,
- prevádzkovali telefóny v oddelenej VoIP sieti, blokovali prístup z tejto siete do Internetu (vrátane DNS prekladov) a v žiadnom prípade nesprístupňovali telefóny na verejných IP adresách,
- pravidelne aktualizovali aj IoT zariadenia,
- zaviedli monitoring sieťových aktivít telefónnych zariadení.
V prípade zistenia kybernetického bezpečnostného incidentu ho nezabudnite nahlásiť Národnému centru kybernetickej bezpečnosti SK-CERT na [email protected].
Zdroje
« Späť na zoznam