Varovanie pred kritickými zraniteľnosťami v telefónnych zariadeniach Cisco

Národné centrum kybernetickej bezpečnosti SK-CERT varuje pred zraniteľnosťami v telefónnych zariadeniach od spoločnosti Cisco, ktoré by mohli byť zneužité vzdialenými neautentifikovanými útočníkmi na ľubovoľné vykonanie kódu (ACE) alebo odmietnutie dostupnosti služieb (DoS).

Kritické zraniteľnosti označené kódom CVE-2023-20078 CVE-2023-20079 môžu umožniť neautentifikovanému, vzdialenému útočníkovi vykonanie ľubovoľného kódu alebo spôsobiť odmietnutie služby.

Kritické zraniteľnosti CVE-2023-20078 CVE-2023-20079 dosahujú CVSS skóre 9.8.

Telefónne zariadenia od spoločnosti Cisco sú veľmi populárne a široko používané aj na Slovensku v najrôznejších typoch organizácií. Je možné očakávať, že uvedené zraniteľnosti budú zneužívané útočníkmi.

Scenáre zneužitia

Vzhľadom k špecifickému typu zraniteľných zariadení predpokladá SK-CERT tieto možné scenáre zneužitia:

  • odpočúvanie telefonických hovorov – keďže zasiahnuté zariadenia sú IP telefóny, je možné očakávať odpočúvanie hovorov viacerými spôsobmi, vrátane presmerovania telefonickej komunikácie na IP ústredňu pod kontrolou útočníka,
  • odpočúvanie komunikácie v miestnosti aj mimo telefonického hovoru – IP telefóny vedia otvoriť hovor s hlasitým odposluchom aj bez vyzváňania či akcie používateľa,
  • automatizované telefonáty na platené linky – napadnuté zariadenia môžu iniciovať hovory na platené zahraničné telefónne čísla, s vysokými finančnými dopadmi,
  • nepozorované sledovanie aktivít v organizácii a vykonávanie ďalších útokov – keďže zariadenia tohto typu obvykle nie sú predmetom monitoringu, je možné ich využiť na ďalšie útoky na organizáciu,
  • účasť zariadení v sieti botnet – zraniteľnosti tohto typu boli v minulosti často zneužité tak, že napadnuté zariadenia začali útočiť na dalšie ciele, nakoľko boli napadnuté škodlivým kódom, ktorý ich zaradil do botnetovej siete,
  • existujú takisto mnohé iné predstaviteľné scenáre zneužitia, vrátane znefunkčnenia telefónnych služieb. To môže byť kritické najmä vzhľadom k znefunkčneniu aj volaní na tiesňové linky.

Zasiahnuté zariadenia

Produkty zasiahnuté zraniteľnosťou CVE-2023-20078:

  • IP Phone séria 6800 s multiplatformovým firmvérom
  • IP Phone séria 7800 s multiplatformovým firmvérom
  • IP Phone séria 8800 s multiplatformovým firmvérom

Produkty zasiahnuté zraniteľnosťou CVE-2023-20079:

  • IP Phone séria 6800 s multiplatformovým firmvérom
  • IP Phone séria 7800 s multiplatformovým firmvérom
  • IP Phone séria 8800 s multiplatformovým firmvérom
  • IP Conference Phone 8831
  • IP Conference Phone 8831 s multiplatformovým firmvérom
  • IP Phone 7900 Series

Spoločnosť Cisco vydala softvérovú aktualizáciu, ktorá opravuje opísané zraniteľnosti.

Národné centrum kybernetickej bezpečnosti SK-CERT v súvislosti s týmito zraniteľnosťami odporúča všetkým používateľom, ktorí používajú produkty v zraniteľnej verzii aby:

  • bezodkladne aktualizovali firmvér vyššie uvedených zariadení na najnovšiu dostupnú verziu,
  • po aktualizácii zmenili všetky heslá na telefónnych aparátoch (administrácia) aj na VoIP službu (hlas),
  • skontrolovali sieťové logy so zameraním sa na podozrivú sieťovú aktivitu z telefónov pred okamihom aktualizácie,
  • prevádzkovali telefóny v oddelenej VoIP sieti, blokovali prístup z tejto siete do Internetu (vrátane DNS prekladov) a v žiadnom prípade nesprístupňovali telefóny na verejných IP adresách,
  • pravidelne aktualizovali aj IoT zariadenia,
  • zaviedli monitoring sieťových aktivít telefónnych zariadení.

V prípade zistenia kybernetického bezpečnostného incidentu ho nezabudnite nahlásiť Národnému centru kybernetickej bezpečnosti SK-CERT na [email protected].

Zdroje

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ip-phone-cmd-inj-KMFynVcP


« Späť na zoznam