هشدار سیسکو به دارندگان تلفن‌های قدیمی

سیسکو درباره‌ی وجود چندین آسیب‌پذیری بحرانی اجرای کد از راه دور در رابط مدیریت مبتنی‌بر وب تلفن‌های IP سری SPA ۳۰۰ و SPA ۵۰۰ مخصوص کسب‌وکار‌های کوچک که دیگر پشتیبانی نمی‌شوند، هشدار داده است.

به گزارش همشهری‌آنلاین، بلیپینگ کامپیوتر می‌نوبسد که سیسکو برای این دستگاه‌ها اصلاحیه‌ای ارائه و راهکار‌های کاهش خطر را نیز منتشر نکرده است؛ بنابراین، کاربران این محصولات باید در اسرع وقت به مدل‌های جدیدتر و پشتیبانی‌شده مهاجرت کنند.

تلفن‌های IP سیسکو

سیسکو پنج نقص امنیتی را فاش کرده است که سه مورد آن با درجه‌ی بحرانی (امتیاز CVSS v۳.۱: ۹.۸) و دو مورد با درجه‌ی بالا (امتیاز CVSS v۳.۱: ۷.۵) طبقه‌بندی شده‌اند.

آسیب‌پذیری‌های بحرانی با شناسه‌های CVE-۲۰۲۴-۲۰۴۵۰ و CVE-۲۰۲۴-۲۰۴۵۲ و CVE-۲۰۲۴-۲۰۴۵۴ ردیابی می‌شوند. این آسیب‌پذیری‌های سرریز بافر به مهاجم از راه دور و بدون نیاز به احراز هویت اجازه می‌دهند تا با ارسال درخواست HTTP خاص به دستگاه هدف، دستور‌های دلخواه را با امتیاز‌های ریشه روی زیرسیستم‌عامل اجرا کند.

سیسکو در این اطلاعیه هشدار می‌دهد: سوءاستفاده‌ی موفق می‌تواند به مهاجم اجازه دهد تا بافر داخلی را سرریز و دستور‌های دلخواه را در سطح امتیاز ریشه اجرا کند.

دو نقص با شدت بالا نیز CVE-۲۰۲۴-۲۰۴۵۱ و CVE-۲۰۲۴-۲۰۴۵۳ نام دارند. این نقص‌ها ناشی از بررسی ناکافی بسته‌های HTTP است که به بسته‌های مخرب اجازه می‌دهد تا باعث اختلال در سرویس (DoS) در دستگاه آسیب‌پذیر شوند.

سیسکو خاطرنشان می‌کند که هر پنج نقص روی تمام نسخه‌های نرم‌افزاری تأثیر می‌گذارند که روی تلفن‌های IP SPA ۳۰۰ و SPA ۵۰۰ اجرا می‌شوند و مستقل از یکدیگر هستند. این یعنی ممکن است از آن‌ها جداگانه سوء‌استفاده شود.

طبق پورتال پشتیبانی سیسکو، آخرین دستگاه SPA ۳۰۰ در فوریه‌ی ۲۰۱۹ به مشتریان فروخته شد و سه سال بعد، در فوریه ۲۰۲۲، پشتیبانی از آن پایان یافت. فروش SPA ۵۰۰ نیز در همان تاریخی که پشتیبانی‌اش پایان یافت، یعنی اول ژوئن ۲۰۲۰، متوقف شد.

گفتنی است که سیسکو تا ۳۱ می ۲۰۲۵ برای دارندگان قرارداد‌های خدمات یا شرایط گارانتی ویژه، همچنان از SPA ۵۰۰ پشتیبانی می‌کند؛ اما از ۲۹ فوریه ۲۰۲۴ پشتیبانی از SPA ۳۰۰ قطع شده است.

هیچ‌کدام از این دو مدل به‌روزرسانی امنیتی دریافت نخواهند کرد؛ بنابراین به کاربران توصیه می‌شود که به مدل‌های جدیدتر و پشتیبانی‌شده مانند Cisco IP Phone ۸۸۴۱ یا یکی از مدل‌های سری Cisco ۶۸۰۰ مهاجرت کنند.

افزون‌براین، سیسکو برنامه‌ی TMP را ارائه می‌دهد که به مشتریان امکان می‌دهد تا محصولات واجدشرایط را برای دریافت اعتبار برای تجهیزات جدید تعویض کنند.