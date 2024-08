Ip-telefoons van Cisco zijn via verschillende kritieke kwetsbaarheden op afstand door een ongeauthenticeerde aanvaller volledig over te nemen en een update zal het bedrijf niet beschikbaar maken. Als oplossing wordt de aanschaf van nieuwe apparatuur aangeraden. De drie beveiligingslekken (CVE-2024-20450, CVE-2024-20452 en CVE-2024-20454) bevinden zich in de webinterface van Cisco Small Business SPA300 en SPA500 ip-telefoons en laten een aanvaller willekeurige commando's met rootrechten op het onderliggende besturingssysteem uitvoeren.

Volgens Cisco worden de kwetsbaarheden veroorzaakt doordat http-packets niet goed op fouten worden gecontroleerd, wat kan leiden tot een buffer overflow. Een aanvaller kan door het versturen van een speciaal geprepareerd http-packet naar een kwetsbaar toestel hier misbruik van maken. Cisco zal geen beveiligingsupdates uitbrengen om de problemen te verhelpen, aangezien de betreffende toestellen end-of-life zijn en niet meer worden ondersteund. Als mogelijke oplossing wordt dan ook het migreren naar nieuwe apparatuur aangeraden. De impact van de drie kwetsbaarheden is op een schaal van 1 tot en met 10 beoordeeld met een 9.8.