شهریور ۲۶, ۱۴۰۳
  • twitter
  • telegram
  • linkedin
  • youtube
  • instagram
  • aparat
  • صفحه خانگی
  • >
  • یییی اسلاید
  • >
  • Cisco از وجود آسیب‌پذیری‌های بحرانی RCE در تلفن‌های IP که به پایان عمر خود رسیده‌اند، هشدار داده است.

Cisco از وجود آسیب‌پذیری‌های بحرانی RCE در تلفن‌های IP که به پایان عمر خود رسیده‌اند، هشدار داده است.

سیسکو از وجود چندین آسیب‌پذیری بحرانی با قابلیت اجرای کد از راه دور RCE در رابط مدیریت مبتنی بر وب تلفن‌های آی‌پی از سری Small Business SPA 300 و SPA 500 که به پایان عمر خود رسیده‌اند، هشدار می‌دهد.

از آن‌جایی که فروشنده هیچ راه‌حلی برای رفع مشکلات امنیتی این دستگاه‌ها ارائه نکرده و هیچ راهکاری برای کاهش ریسک‌ها ارائه نداده است، کاربران باید فوراً به دستگاه‌های جدید و با پشتیبانی فعال‌تر روی بیاورند.

جزییات اسیب پذیری

سیسکو پنج نقص امنیتی را افشا کرده است که سه مورد از آن‌ها به‌عنوان بحرانی ( با نمره CVSS v3.1 برابر با ۹٫۸ ) و دو مورد دیگر به‌عنوان با شدت بالا ( با نمره CVSS v3.1 برابر با ۷٫۵ ) دسته‌بندی شده‌اند.

آسیب‌پذیری‌های بحرانی با شناسه‌های CVE-2024-20450، CVE-2024-20452، و CVE-2024-20454 شناسایی شده‌اند.

این آسیب‌پذیری‌ها به مهاجمان این اجازه را می‌دهند که با استفاده از یک درخواست HTTP خاص، به سیستم عامل دستگاه هدف نفوذ کرده و دستورات دلخواه را با سطح دسترسی کامل اجرا کنند، بدون اینکه نیازی به ورود یا احراز هویت داشته باشند.

سیسکو در بیانیه خود هشدار داده است که اگر مهاجم بتواند به‌طور موفق از این آسیب‌پذیری استفاده کند، قادر خواهد بود بافر داخلی را به نحوی که اطلاعات در آن بیش از ظرفیتش قرار گیرد، سرریز کند و سپس با استفاده از دسترسی‌های ریشه به اجرای هرگونه دستور دلخواه بپردازد.

دو آسیب‌پذیری با شدت بالا، که به ترتیب با شناسه‌های CVE-2024-20451 و CVE-2024-20453 شناخته می‌شوند، به دلیل بررسی‌های ناکافی بر روی بسته‌های HTTP ایجاد شده‌اند. این آسیب‌پذیری‌ها باعث می‌شود که بسته‌های مخرب بتوانند موجب اختلال در سرویس (denial of service) بر روی دستگاه تحت تأثیر شوند.

سیسکو اشاره می‌کند که تمام پنج آسیب‌پذیری به تمام نسخه‌های نرم‌افزاری که بر روی تلفن‌های آی‌پی سری SPA 300 و SPA 500 اجرا می‌شوند، تأثیر می‌گذارد، بدون توجه به پیکربندی آن‌ها و این آسیب‌پذیری‌ها به طور مستقل از یکدیگر هستند، به این معنی که هر یک از آن‌ها به‌طور جداگانه قابل بهره‌برداری است.

پایان پشتیبانی

بر اساس پرتال پشتیبانی سیسکو، مدل SPA 300 آخرین بار در فوریه ۲۰۱۹ به مشتریان فروخته شد و سه سال بعد، در فوریه ۲۰۲۲، به پایان دوره پشتیبانی خود رسید.

برای مدل SPA 500، فروشنده فروش سخت‌افزار را در همان تاریخی که دوره پشتیبانی آن به پایان رسید، یعنی در تاریخ ۱ ژوئن ۲۰۲۰، متوقف کرد.

اگرچه پشتیبانی رسمی برای SPA 300 از تاریخ ۲۹ فوریه ۲۰۲۴ به پایان رسیده، اما کسانی که قرارداد خدمات یا ضمانت ویژه برای SPA 500 دارند، تا تاریخ ۳۱ مه ۲۰۲۵ همچنان می‌توانند از پشتیبانی سیسکو بهره‌مند شوند.

هیچ‌کدام از این مدل‌ها به‌روزرسانی‌های امنیتی دریافت نخواهند کرد، بنابراین به کاربران توصیه می‌شود که به مدل‌های جدیدتر و پشتیبانی‌شده مانند Cisco IP Phone 8841 یا مدلی از سری Cisco 6800 منتقل شوند.

سیسکو همچنین برنامه‌ای به نام برنامه مهاجرت فناوری ( Technology Migration Program یا TMP ) ارائه می‌دهد که به مشتریان این امکان را می‌دهد که محصولات واجد شرایط خود را تعویض کنند و اعتبار دریافت کنند که می‌توانند برای خرید تجهیزات جدید استفاده کنند.

اگر کسی در مورد انتخاب یا گزینه‌های موجود برای ارتقا یا تعویض تجهیزات خود سوالاتی دارد یا نیاز به راهنمایی دارد، پیشنهاد می‌شود با مرکز پشتیبانی فنی سیسکو تماس بگیرد تا مشاوره و کمک لازم را دریافت کند.

نوشته های مرتبط

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

آخرین مطالب