Новости Cisco работает над патчем для опасной уязвимости, затрагивающей IP-телефоны

[Пригоршня]

​

Уязвимость, отслеживаемая под идентификатором CVE-2022-20968 (получила оценку 8.1 из 10 по шкале CVSS), затрагивает IP-телефоны Cisco серий 7800 и 8800 (кроме 8821). Обходных путей не существует, но Cisco предоставила смягчающее решение, которое можно использовать до тех пор, пока не будет выпущен патч.

Сама компания описывает уязвимость как переполнение буфера, связанное с функцией обработки протокола Discovery Protocol. По мнению экспертов Cisco, неавторизованный злоумышленник может воспользоваться этой брешью в защите, отправляя специальные пакеты протокола Discovery Protocol на целевое устройство, что способно привести к выполнению произвольного кода или отказу в обслуживании.

CVE-2022-20968 затрагивает IP-телефоны Cisco с 14.2 и более ранними версиями прошивки. Выпуск патча запланирован на январь 2023 года.

Компания заявила, что ничего не слышала об атаках с использованием этой уязвимости, но отметила, что ИБ-специалисты активно обсуждали CVE-2022-20968. Кроме того, для бреши в защите уже выпущен эксплойт.

Компания заявила, что ей ничего не известно о вредоносных атаках, использующих уязвимость, но отметила, что недостаток "публично обсуждался", и уже доступен эксплойт для доказательства концепции (PoC).

В своем сообщении Cisco упомянула Цяня Чена из китайской ИБ-фирмы Codesafe Team. Именно он нашел уязвимость и сообщил о ней компании.