Cisco adverteix de l’execució de codi remot crític de múltiples dies zero a la interfície de gestió basada en web dels telèfons IP de les sèries Small Business SPA 300 i SPA 500 al final de la seva vida útil.

El venedor no ha fet correccions disponibles per a aquests dispositius i no ha compartit cap consell de mitigació, de manera que els usuaris d’aquests productes hauran de passar a models més nous i compatibles de manera activa tan aviat com els sigui possible.

Detalls de la vulnerabilitat

Cisco ha revelat cinc defectes, tres classificats com a crítics (puntuació CVSS v3.1: 9,8) i dos classificats com d’alta gravetat (puntuació CVSS v3.1: 7,5).

Les vulnerabilitats crítiques s’ha codificat com a CVE-2024-20450, CVE-2024-20452 i CVE-2024-20454 per fer-ne el seguiment.

Aquestes vulnerabilitats de desbordament de memòria intermèdia permeten que un atacant remot no autenticat executi ordres arbitràries al sistema operatiu subjacent amb privilegis d’arrel mitjançant l’enviament d’una sol·licitud HTTP especialment dissenyada al dispositiu objectiu.

«Una explotació reeixida podria permetre a l’atacant desbordar un buffer intern i executar ordres arbitràries al nivell de privilegis d’arrel», adverteix Cisco al butlletí.

Els dos defectes d’alta gravetat són el CVE-2024-20451 i el CVE-2024-20453. Són causats per comprovacions inadequades dels paquets HTTP, que permeten que els paquets maliciosos provoquin una denegació de servei al dispositiu afectat.

Cisco assenyala que els cinc defectes afecten totes les versions de programari que s’executen als telèfons IP SPA 300 i l’SPA 500 independentment de la seva configuració i són independents entre si, cosa que significa que es poden explotar individualment.

Fi del suport

Segons el portal de suport de Cisco, l’SPA 300 es va vendre per última vegada als clients el febrer de 2019 i va arribar al final del suport tres anys més tard, el febrer de 2022.

Per a l’SPA 500, el venedor va deixar de vendre el maquinari a la mateixa data en què va arribar al final del suport, l’1 de juny de 2020.

Cal tenir en compte que Cisco encara cobreix l’SPA 500 fins al 31 de maig de 2025 per als titulars de contractes de servei o condicions especials de garantia, però l’SPA 300 no està cobert des del 29 de febrer de 2024.

Cap dels dos obtindrà una actualització de seguretat, de manera que es recomana als usuaris que facin la transició a models més nous i compatibles, com ara el telèfon IP Cisco 8841 o un model de la sèrie Cisco 6800.

Cisco també ofereix un Programa de migració de tecnologia (TMP), que permet que els clients negociïn productes elegibles i rebin crèdit per a equips nous.

Es recomana als qui no estiguin segurs de les seves opcions que es posin en contacte amb el Centre d’Assistència Tècnica (TAC) de Cisco.