CDIC 2023

นักวิจัยพบช่องโหว่อายุ 10 ปีบนโทรศัพท์ Avaya VoIP แนะผู้ใช้เร่งอัปเดต

นักวิจัยด้านความมั่นคงปลอดภัยจาก McAfee ได้ค้นพบช่องโหว่เก่าที่มีอายุกว่า 10 ปี หลงเหลืออยู่ในซอฟต์แวร์โอเพ่นซอร์สที่ใช้ในเฟิร์มแวร์ของโทรศัพท์ Avaya VoIP ซึ่งอาจนำไปสู่การลอบรันโค้ดเพื่อเข้าถึงการสนทนาเสียงได้

เครดิต : McAfee

ช่องโหว่หมายเลข CVE-2009-0692 ซึ่งจะเห็นได้ว่าอายุครบ 10 พอดี ได้ถูกพบในซอฟต์แวร์โอเพ่นซอร์สของ Avaya IP Deskphone ซีรี่ย์ 9600, IP Phone J100 และ Conference Phone B100 ทั้งนี้จะส่งผลกระทบต่อซอฟต์แวร์แสต็ก H.323 เท่านั้น (ไม่เกี่ยวกับ SIP) อย่างไรก็ดีช่องโหว่ข้างต้นเป็น Stack Buffer Overflow ใน ISC DHCP Client ที่คนร้ายสามารถส่ง DHCP Respond อันตรายกลับมาเพื่อทำให้เกิด Crash หรือ RCE

โดยนักวิจัยได้สาธิตช่องโหว่เพื่อลอบดักจับเสียงตามวีดีโอด้านล่าง หรือผู้สนใจสามารถอ่านรายละเอียดเพิ่มเติมได้จากบล็อกของ McAfee สำหรับในฝั่งของ Avaya เองได้ออกแพตช์มาเรียบร้อยแล้ว ดังนั้นจึงแนะนำให้ผู้เกี่ยวข้องเร่งอัปเดตครับ แต่หลังจากแพตช์ปัญหาข้างต้นไป Avaya ก็ได้เผยการค้นพบช่องโหว่ CVE-2011-0997 เพิ่มใน ISC DHCP ที่ทำให้เกิด RCE ได้ไว้ใน Advisory  

ที่มา :  https://www.bleepingcomputer.com/news/security/avaya-voip-phones-harbored-10-year-old-vulnerability/ และ  https://www.zdnet.com/article/decade-old-remote-code-execution-bug-found-in-phone-used-by-up-to-90-percent-of-fortune-500/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

‘ซิสโก้’ กำหนดนิยามใหม่ “การป้องกันความปลอดภัยทางไซเบอร์” ด้วยพอร์ตฟอลิโอ AI ที่หลากหลายและทรงพลัง [Guest Post]

ซิสโก้ ผู้นำด้านระบบเครือข่ายและการรักษาความปลอดภัยระดับองค์กร เปิดตัว Cisco AI Assistant for Security ซึ่งนับเป็นก้าวสำคัญในการทำให้ AI แพร่หลายใน Security Cloud, Unified ของซิสโก้, …

Sangfor Access Secure ทะยานติดอันดับ Frost & Sullivan Frost Radar for SASE 2023

Sangfor Access Secure ได้ทะยานขึ้นสู่การจัดอันดับของ Frost & Sullivan Frost Radar for SASE 2023 เป็นที่เรียบร้อยแล้ว