Cisco komt niet met update voor kritiek beveiligingslek in voip-telefoonadapter
Een kritieke kwetsbaarheid in de SPA112 voip-telefoonadapter van Cisco maakt het mogelijk voor ongeauthenticeerde aanvallers om het apparaat op afstand volledig over te nemen, maar het netwerkbedrijf maakt geen update beschikbaar om het probleem te verhelpen. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 9.8.
De SPA 112 is een voip-converter waarop twee analoge telefoons zijn te aansluiten zodat ze voor bellen via voip zijn te gebruiken. Het apparaat is al sinds 2011 in omloop, maar wordt sinds 2020 niet meer verkocht. De ondersteuning van de voip-telefoonadapter eindigt op 31 mei 2025. Eén webshop noemde het de "populairste voIp-converter uit ons assortiment".
Een kwetsbaarheid, aangeduid als CVE-2023-20126, maakt het mogelijk voor een remote aanvaller om zonder enige authenticatie zijn eigen firmware op het apparaat te installeren. De firmware-upgradefunctie blijkt namelijk niet over een authenticatieproces te beschikken, aldus Cisco. Een aanvaller kan via zijn eigen firmware zo volledige controle over het apparaat krijgen.
De ondersteuning eindigt zoals gezegd op 31 mei 2025. Cisco zal echter geen updates uitbrengen om het probleem te verhelpen. De SPA112 voip-telefoonadapter ontvangt namelijk sinds 1 juni 2020 geen beveiligingsupdates meer. De support die nog wel wordt geboden geldt alleen voor eerder afgesloten servicecontracten en omvatten geen patches.
[ot]Ik zit wel met spanning te wachten op een vervanger die IPv6 doet. [/ot]
MV
[ot]Ik zit wel met spanning te wachten op een vervanger die IPv6 doet. [/ot]
Met de support van IPv6 in VoIP spullen is het vaak treurig gesteld. Dit geeft eigenlijk wel het failliet van IPv6 aan, want
juist met VoIP waar NAT altijd een drama is zou IPv6 een hoop problemen oplossen.
Echter:
- VoIP providers ondersteunen bijna nooit IPv6
- De IPv6 support in VoIP apparatuur is vaak wrakkig en ongetest
- Zelfs VoIP apps op mobieltjes hebben vaak problemen met IPv6.
En dat terwijl je zou verwachten dat de VoIP community vol op IPv6 gedoken was. Al in 2011.
in het eigen productpakket. Dan kan het natuurlijk zijn dat het opplakken van een Cisco sticker niet meteen betere kwaliteit
en betere support betekent, hoewel de mooipraters van de marketing afdeling je anders willen laten geloven.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Chief Information Security Officer
Met jou als Chief Information Security Officer werken we samen aan het inrichten van een digitale leer-, werk- en onderzoeksomgeving en investeren in digitalisering. De beveiliging van alle daarbij gebruikte middelen en informatie én het zorgen voor bewustzijn bij alle partijen is hierbij een belangrijke pijler. Daar kom jij in beeld.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.