Cisco ha rilevato una vulnerabilità critica che colpisce i suoi prodotti di telefonia over Internet, in particolare i modelli IP Phone serie 6800, 7800, 7900 e 8800.
La vulnerabilità, alla quale se ne aggiunge una seconda, è critica ma Cisco ha già rilasciato un aggiornamento che deve essere applicato il prima possibile.
Entrambi i difetti di sicurezza sono stati rilevati da Zack Sanchez del Cisco Advanced Security Initiatives Group (ASIG).
Indice degli argomenti
Vulnerabilità RCE nei Cisco IP phone
La vulnerabilità è stata identificata come CVE-2023-20078, ha ricevuto un punteggio di 9,8 su 10 nel sistema di punteggio CVSS e viene descritta come un bug di “command injection” nell’interfaccia di gestione Web dei dispositivi, a causa di una convalida insufficiente dell’input fornito dall’utente.
“Un utente malintenzionato potrebbe sfruttare questa vulnerabilità inviando una richiesta predisposta all’interfaccia di gestione basata sul Web”, afferma Cisco nel suo avviso.
In sostanza, uno sfruttamento portato a termine con successo (exploit) di questa vulnerabilità può generare un attacco di Remote Code Execution (RCE) da parte dell’attore malintenzionato. Quest’ultimo, senza autenticazione, sarà quindi in grado di eseguire comandi a sua scelta con privilegi di root.
La soluzione per risolvere il problema è l’aggiornamento già disponibile che Cisco ha prontamente predisposto. Inoltre, l’azienda fa sapere che l’update è l’unico modo per risolvere il sistema, non ci sono altre pratiche che possono proteggere il dispositivo da questo pericolo, senza aver applicato l’aggiornamento.
Vulnerabilità DoS sui medesimi telefoni
Come dicevamo, è stata identificata anche un’altra vulnerabilità che impatta sulla medesima serie di telefoni IP Phone di Cisco. Questa è stata tracciata come CVE-2023-20079, il punteggio di gravità è 7.5 su 10 ed è definita come Denial of Service (DoS).
Il secondo difetto consente, sempre a causa di una mancata o insufficiente convalida degli input forniti dall’utente, di inviare una richiesta appositamente predisposta, verso la gestione Web del dispositivo causando un riavvio continuo del telefono preso di mira. Il risultato è la negazione del servizio (DoS), in questo caso l’utilizzo dell’IP Phone.
Anche in questo caso, come per la vulnerabilità RCE è disponibile l’aggiornamento ed è conosciuto come unico metodo per risolvere il difetto e riportare in sicurezza i dispositivi impattati.
Buone pratiche di sicurezza
Un difetto di sicurezza nei telefoni IP Phone per il VoIP potrebbe avere importanti conseguenze per le aziende che li utilizzano. Le vulnerabilità dei dispositivi di rete sono sempre state una preoccupazione per le aziende, ma la crescente adozione del VoIP rende la sicurezza dei telefoni IP Phone un problema critico.
In particolare, come abbiamo visto, la vulnerabilità CVE-2023-20078 potrebbe permettere a un attaccante di accedere al dispositivo e quindi alla rete aziendale, potenzialmente causando danni significativi come la divulgazione di informazioni sensibili o l’interruzione delle attività aziendali.
I telefoni IP Phone di Cisco possono essere aggiornati con patch di sicurezza per correggere eventuali vulnerabilità. Questi aggiornamenti devono essere effettuati tempestivamente per evitare che gli attaccanti sfruttino i difetti di sicurezza.
Ma l’aggiornamento dei telefoni IP Phone potrebbe non essere considerato una priorità per molte aziende. Spesso, i dispositivi di rete come i telefoni IP vengono considerati come strumenti di lavoro che non richiedono la stessa attenzione alla sicurezza riservata ai computer o ai server. Tuttavia, i telefoni IP Phone sono parte integrante della rete aziendale e devono essere protetti con la stessa cura e attenzione.
Inoltre, molte aziende utilizzano telefoni IP Phone più vecchi e meno recenti, che potrebbero non essere più supportati da Cisco con patch di sicurezza. In questo caso, l’aggiornamento del dispositivo potrebbe essere necessario per evitare rischi per la sicurezza.
Per proteggere la rete aziendale dai pericoli delle vulnerabilità dei telefoni IP Phone, le aziende devono seguire alcune buone pratiche di sicurezza. In primo luogo, i telefoni IP devono essere configurati correttamente e protetti da password complesse e non facilmente indovinabili. In secondo luogo, l’accesso remoto ai telefoni IP Phone deve essere limitato solo alle persone autorizzate.
