根据披露,近日思科发布了新的安全公告,指出IP电话(网络电话)7800和8800系列某个固件中存在高危漏洞,一旦攻击者成功利用该漏洞,或引发远程代码执行或拒绝服务(DoS)情况(CVE-2022-20968)。
思科公司是全球领先的网络解决方案供应商。Cisco的名字取自San Francisco(旧金山),那里有座闻名于世界的金门大桥。可以说,依靠自身的技术和对网络经济模式的深刻理解,思科成为了网络应用的成功实践者之一。
该漏洞被追踪为 CVE-2022-20968(CVSS 评分:8.1),由 Qianxin Group Legendsec Codesafe 团队的 Qian Chen 发现并报告。据悉,漏洞产生的原因是在收到 Cisco 发现协议(CDP)数据包时,存在输入验证不足的情况,思科目前正在积极开发新补丁来解决漏洞问题。
注:通过运行 CDP 协议,思科设备能够在与它们直连的设备之间分享有关操作系统软件版本,以及 IP 地址,硬件平台等相关信息。(默认情况下自动开启。)
2022 年 12 月 8 日,Cisco 在一份公告中表示,潜在攻击者可以通过向受影响设备发送“精心制作”的思科发现协议流量来利用这一漏洞,若成功利用漏洞,潜在攻击者能够造成堆栈溢出,导致受影响设备上可能出现远程代码执行或拒绝服务(DoS)的情况。
值得一提的是,漏洞主要影响运行固件版本 14.2 及更早版本的Cisco IP 电话,思科方面声称目前暂时没有更新补丁和解决方案来解决该问题,但公司正在加紧开发更新补丁,计划在 2023 年 1 月发布。
此外,在同时支持 CDP 和链路层发现协议(LLDP)用于邻居发现的部署中,用户可以选择禁用 CDP,以便受影响的设备能够切换到 LLDP,向局域网(LAN)中直连的对等设备公布其身份和能力。这种变化可能会带来其它安全风险,需要企业努力评估设备可能会受到的任何潜在影响。
最后,思科强调,CVE-2022-20968 漏洞虽已被公开披露,但迄今为止,没有证据表明该漏洞在野外被积极滥用。
评论已关闭。