سیسکو دربارهی وجود چندین آسیبپذیری بحرانی اجرای کد از راه دور در رابط مدیریت مبتنیبر وب تلفنهای IP سری SPA ۳۰۰ و SPA ۵۰۰ مخصوص کسبوکارهای کوچک که دیگر پشتیبانی نمیشوند، هشدار داده است.
به گزارش همشهریآنلاین، بلیپینگ کامپیوتر مینوبسد که سیسکو برای این دستگاهها اصلاحیهای ارائه و راهکارهای کاهش خطر را نیز منتشر نکرده است؛ بنابراین، کاربران این محصولات باید در اسرع وقت به مدلهای جدیدتر و پشتیبانیشده مهاجرت کنند.
سیسکو پنج نقص امنیتی را فاش کرده است که سه مورد آن با درجهی بحرانی (امتیاز CVSS v۳.۱: ۹.۸) و دو مورد با درجهی بالا (امتیاز CVSS v۳.۱: ۷.۵) طبقهبندی شدهاند.
آسیبپذیریهای بحرانی با شناسههای CVE-۲۰۲۴-۲۰۴۵۰ و CVE-۲۰۲۴-۲۰۴۵۲ و CVE-۲۰۲۴-۲۰۴۵۴ ردیابی میشوند. این آسیبپذیریهای سرریز بافر به مهاجم از راه دور و بدون نیاز به احراز هویت اجازه میدهند تا با ارسال درخواست HTTP خاص به دستگاه هدف، دستورهای دلخواه را با امتیازهای ریشه روی زیرسیستمعامل اجرا کند.
سیسکو در این اطلاعیه هشدار میدهد: سوءاستفادهی موفق میتواند به مهاجم اجازه دهد تا بافر داخلی را سرریز و دستورهای دلخواه را در سطح امتیاز ریشه اجرا کند.
دو نقص با شدت بالا نیز CVE-۲۰۲۴-۲۰۴۵۱ و CVE-۲۰۲۴-۲۰۴۵۳ نام دارند. این نقصها ناشی از بررسی ناکافی بستههای HTTP است که به بستههای مخرب اجازه میدهد تا باعث اختلال در سرویس (DoS) در دستگاه آسیبپذیر شوند.
سیسکو خاطرنشان میکند که هر پنج نقص روی تمام نسخههای نرمافزاری تأثیر میگذارند که روی تلفنهای IP SPA ۳۰۰ و SPA ۵۰۰ اجرا میشوند و مستقل از یکدیگر هستند. این یعنی ممکن است از آنها جداگانه سوءاستفاده شود.
طبق پورتال پشتیبانی سیسکو، آخرین دستگاه SPA ۳۰۰ در فوریهی ۲۰۱۹ به مشتریان فروخته شد و سه سال بعد، در فوریه ۲۰۲۲، پشتیبانی از آن پایان یافت. فروش SPA ۵۰۰ نیز در همان تاریخی که پشتیبانیاش پایان یافت، یعنی اول ژوئن ۲۰۲۰، متوقف شد.
گفتنی است که سیسکو تا ۳۱ می ۲۰۲۵ برای دارندگان قراردادهای خدمات یا شرایط گارانتی ویژه، همچنان از SPA ۵۰۰ پشتیبانی میکند؛ اما از ۲۹ فوریه ۲۰۲۴ پشتیبانی از SPA ۳۰۰ قطع شده است.
هیچکدام از این دو مدل بهروزرسانی امنیتی دریافت نخواهند کرد؛ بنابراین به کاربران توصیه میشود که به مدلهای جدیدتر و پشتیبانیشده مانند Cisco IP Phone ۸۸۴۱ یا یکی از مدلهای سری Cisco ۶۸۰۰ مهاجرت کنند.
افزونبراین، سیسکو برنامهی TMP را ارائه میدهد که به مشتریان امکان میدهد تا محصولات واجدشرایط را برای دریافت اعتبار برای تجهیزات جدید تعویض کنند.