นักวิจัยพบช่องโหว่อายุ 10 ปีบนโทรศัพท์ Avaya VoIP แนะผู้ใช้เร่งอัปเดต

นักวิจัยด้านความมั่นคงปลอดภัยจาก McAfee ได้ค้นพบช่องโหว่เก่าที่มีอายุกว่า 10 ปี หลงเหลืออยู่ในซอฟต์แวร์โอเพ่นซอร์สที่ใช้ในเฟิร์มแวร์ของโทรศัพท์ Avaya VoIP ซึ่งอาจนำไปสู่การลอบรันโค้ดเพื่อเข้าถึงการสนทนาเสียงได้

เครดิต : McAfee

ช่องโหว่หมายเลข CVE-2009-0692 ซึ่งจะเห็นได้ว่าอายุครบ 10 พอดี ได้ถูกพบในซอฟต์แวร์โอเพ่นซอร์สของ Avaya IP Deskphone ซีรี่ย์ 9600, IP Phone J100 และ Conference Phone B100 ทั้งนี้จะส่งผลกระทบต่อซอฟต์แวร์แสต็ก H.323 เท่านั้น (ไม่เกี่ยวกับ SIP) อย่างไรก็ดีช่องโหว่ข้างต้นเป็น Stack Buffer Overflow ใน ISC DHCP Client ที่คนร้ายสามารถส่ง DHCP Respond อันตรายกลับมาเพื่อทำให้เกิด Crash หรือ RCE

โดยนักวิจัยได้สาธิตช่องโหว่เพื่อลอบดักจับเสียงตามวีดีโอด้านล่าง หรือผู้สนใจสามารถอ่านรายละเอียดเพิ่มเติมได้จากบล็อกของ McAfee สำหรับในฝั่งของ Avaya เองได้ออกแพตช์มาเรียบร้อยแล้ว ดังนั้นจึงแนะนำให้ผู้เกี่ยวข้องเร่งอัปเดตครับ แต่หลังจากแพตช์ปัญหาข้างต้นไป Avaya ก็ได้เผยการค้นพบช่องโหว่ CVE-2011-0997 เพิ่มใน ISC DHCP ที่ทำให้เกิด RCE ได้ไว้ใน Advisory  

ที่มา :  https://www.bleepingcomputer.com/news/security/avaya-voip-phones-harbored-10-year-old-vulnerability/ และ  https://www.zdnet.com/article/decade-old-remote-code-execution-bug-found-in-phone-used-by-up-to-90-percent-of-fortune-500/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

[Guest Post] งานแถลงข่าวกลุ่มย่อย ในหัวข้อ “The Culture of Innovation” การสร้างวัฒนธรรมของสตาร์ทอัพ กุญแจสู่การสร้างวัฒนธรรมด้านนวัตกรรม ของ อะเมซอน เว็บ เซอร์วิสเซส (ประเทศไทย)

วันที่ 28 มิถุนายน 2565 : Amazon เป็นแพลตฟอร์มที่สร้างสตาร์ทอัพที่ประสบความสำเร็จระดับโลกมากมาย เช่น Netflix, Stripe และ Airbnb ไปจนถึงสตาร์ทอัพในภูมิภาคเอเชียแปซิฟิค ไม่ว่าจะเป็น Grab, …

Effortless: เทรนด์ใหม่ที่เหนือกว่าแค่คำว่าง่าย ในการบริหารจัดการ Enterprise Storage

การบริหารจัดการระบบ IT ได้อย่างง่ายดายนั้นถือเป็นสิ่งที่จะสามารถช่วยให้ผู้ดูแลระบบ IT สามารถทำงานได้อย่างมีประสิทธิภาพมากยิ่งขึ้น แต่นิยามคำว่าง่ายของผู้พัฒนาเทคโนโลยีนั้นก็แตกต่างกันออกไป ทำให้หลายครั้งถึงแม้ว่าระบบ IT หนึ่งๆ จะดูเหมือนว่าสามารถบริหารจัดการได้ง่าย แต่เมื่อใช้งานจริงแล้วกลับต้องพบกับอุปสรรคอย่างมากมาย Pure Storage ในฐานะของผู้นำทางด้านเทคโนโลยี All …