Varovanie pred kritickými zraniteľnosťami v telefónnych zariadeniach Cisco

Národné centrum kybernetickej bezpečnosti SK-CERT varuje pred zraniteľnosťami v telefónnych zariadeniach od spoločnosti Cisco, ktoré by mohli byť zneužité vzdialenými neautentifikovanými útočníkmi na ľubovoľné vykonanie kódu (ACE) alebo odmietnutie dostupnosti služieb (DoS).

Kritické zraniteľnosti označené kódom CVE-2023-20078 a CVE-2023-20079 môžu umožniť neautentifikovanému, vzdialenému útočníkovi vykonanie ľubovoľného kódu alebo spôsobiť odmietnutie služby.

Kritické zraniteľnosti CVE-2023-20078 a CVE-2023-20079 dosahujú CVSS skóre 9.8.

Telefónne zariadenia od spoločnosti Cisco sú veľmi populárne a široko používané aj na Slovensku v najrôznejších typoch organizácií. Je možné očakávať, že uvedené zraniteľnosti budú zneužívané útočníkmi.

Scenáre zneužitia

Vzhľadom k špecifickému typu zraniteľných zariadení predpokladá SK-CERT tieto možné scenáre zneužitia:

• odpočúvanie telefonických hovorov – keďže zasiahnuté zariadenia sú IP telefóny, je možné očakávať odpočúvanie hovorov viacerými spôsobmi, vrátane presmerovania telefonickej komunikácie na IP ústredňu pod kontrolou útočníka,
• odpočúvanie komunikácie v miestnosti aj mimo telefonického hovoru – IP telefóny vedia otvoriť hovor s hlasitým odposluchom aj bez vyzváňania či akcie používateľa,
• automatizované telefonáty na platené linky – napadnuté zariadenia môžu iniciovať hovory na platené zahraničné telefónne čísla, s vysokými finančnými dopadmi,
• nepozorované sledovanie aktivít v organizácii a vykonávanie ďalších útokov – keďže zariadenia tohto typu obvykle nie sú predmetom monitoringu, je možné ich využiť na ďalšie útoky na organizáciu,
• účasť zariadení v sieti botnet – zraniteľnosti tohto typu boli v minulosti často zneužité tak, že napadnuté zariadenia začali útočiť na dalšie ciele, nakoľko boli napadnuté škodlivým kódom, ktorý ich zaradil do botnetovej siete,
• existujú takisto mnohé iné predstaviteľné scenáre zneužitia, vrátane znefunkčnenia telefónnych služieb. To môže byť kritické najmä vzhľadom k znefunkčneniu aj volaní na tiesňové linky.

Zasiahnuté zariadenia

Produkty zasiahnuté zraniteľnosťou CVE-2023-20078:

• IP Phone séria 6800 s multiplatformovým firmvérom
• IP Phone séria 7800 s multiplatformovým firmvérom
• IP Phone séria 8800 s multiplatformovým firmvérom

Produkty zasiahnuté zraniteľnosťou CVE-2023-20079:

• IP Phone séria 6800 s multiplatformovým firmvérom
• IP Phone séria 7800 s multiplatformovým firmvérom
• IP Phone séria 8800 s multiplatformovým firmvérom
• IP Conference Phone 8831
• IP Conference Phone 8831 s multiplatformovým firmvérom
• IP Phone 7900 Series

Spoločnosť Cisco vydala softvérovú aktualizáciu, ktorá opravuje opísané zraniteľnosti.

Národné centrum kybernetickej bezpečnosti SK-CERT v súvislosti s týmito zraniteľnosťami odporúča všetkým používateľom, ktorí používajú produkty v zraniteľnej verzii aby:

• bezodkladne aktualizovali firmvér vyššie uvedených zariadení na najnovšiu dostupnú verziu,
• po aktualizácii zmenili všetky heslá na telefónnych aparátoch (administrácia) aj na VoIP službu (hlas),
• skontrolovali sieťové logy so zameraním sa na podozrivú sieťovú aktivitu z telefónov pred okamihom aktualizácie,
• prevádzkovali telefóny v oddelenej VoIP sieti, blokovali prístup z tejto siete do Internetu (vrátane DNS prekladov) a v žiadnom prípade nesprístupňovali telefóny na verejných IP adresách,
• pravidelne aktualizovali aj IoT zariadenia,
• zaviedli monitoring sieťových aktivít telefónnych zariadení.

V prípade zistenia kybernetického bezpečnostného incidentu ho nezabudnite nahlásiť Národnému centru kybernetickej bezpečnosti SK-CERT na [email protected].

Zdroje

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ip-phone-cmd-inj-KMFynVcP

« Späť na zoznam