Cisco advierte sobre vulnerabilidad en popular adaptador de teléfono

Cisco ha advertido de una falla de seguridad crítica en los adaptadores de teléfono SPA112 de 2 puertos que, según dijo, podría ser explotada por un atacante remoto para ejecutar código arbitrario en los dispositivos afectados.

El problema, rastreado como CVE-2023-20126, tiene una calificación de 9.8 de un máximo de 10 en el sistema de puntuación CVSS. La compañía acreditó a Catalpa de DBappSecurity por informar de la deficiencia.

El producto en cuestión permite conectar teléfonos analógicos y máquinas de fax a un proveedor de servicios VoIP sin necesidad de una actualización.

"Esta vulnerabilidad se debe a un proceso de autenticación faltante dentro de la función de actualización de firmware", dijo la compañía en un boletín.

"Un atacante podría explotar esta vulnerabilidad actualizando un dispositivo afectado a una versión diseñada de firmware. Un exploit exitoso podría permitir al atacante ejecutar código arbitrario en el dispositivo afectado con privilegios completos".

A pesar de la gravedad de la falla, el fabricante de equipos de red dijo que no tiene la intención de lanzar correcciones debido al hecho de que los dispositivos han alcanzado el estado de fin de vida útil (EoL) a partir del 1 de junio de 2020.

En su lugar, recomienda que los usuarios migren a un adaptador de teléfono analógico Cisco ATA serie 190, que está programado para recibir su última actualización el 31 de marzo de 2024. No hay evidencia de que la falla haya sido explotada maliciosamente en la naturaleza.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta