Cisco เตือนพบช่องโหว่ Zero-day บน IP Phone ที่ End-of-life ไปแล้ว

Cisco ได้ออกประกาศเตือนเกี่ยวกับการค้นพบช่องโหว่ Zero-day ชุดใหม่บนอุปกรณ์ IP Phone ที่ได้สิ้นสุดการสนับสนุนแล้ว

ช่องโหว่ Zero-day จำนวนห้าตัวถูกค้นพบบนอุปกรณ์ IP Phone รุ่น Small Business SPA 300 และ SPA 500 Series ประกอบด้วย CVE-2024-20450, CVE-2024-20452 และ CVE-2024-20454 ซึ่งเป็นช่องโหว่ประเภท Buffer Overflow ที่มีความรุนแรงตามเกณฑ์ CVSS v.3.1 อยู่ที่ระดับ 9.8/10 ช่องโหว่เหล่านี้ทำให้ผู้โจมตีสามารถรันคำสั่งได้แบบ Remote ในสิทธิระดับ root นอกจากนี้ยังมีช่องโหว่อีกสองตัว คือ CVE-2024-20451 และ CVE-2024-20453 ซึ่งมีความรุนแรงระดับ 7.5 ทำให้สามารถโจมตีแบบ Denial of service ได้ Cisco ยืนยันว่าช่องโหว่ทั้งหมดนี้ส่งผลกระทบต่อซอฟต์แวร์ทุกเวอร์ชัน

อย่างไรก็ตาม อุปกรณ์ทั้งสองรุ่นได้เข้าสู่ระยะ End of support ไปแล้ว โดย SPA 300 สิ้นสุดการสนับสนุนเมื่อเดือนกุมภาพันธ์ 2022 และ SPA 500 สิ้นสุดการสนับสนุนในเดือนมิถุนายน 2020 ด้วยเหตุนี้ จึงจะไม่มีการออกแพตช์เพื่อแก้ไขช่องโหว่ดังกล่าว Cisco แนะนำให้ผู้ใช้งานทำการอัปเกรดฮาร์ดแวร์เป็นรุ่นใหม่ เช่น Cisco IP Phone 8841 หรือ Cisco 6800 Series แทน

ที่มา: https://www.bleepingcomputer.com/news/security/cisco-warns-of-critical-rce-zero-days-in-end-of-life-ip-phones/