Cisco advierte sobre múltiples días cero de ejecución remota de código crítico en la interfaz de administración basada en web de los teléfonos IP Small Business de las series SPA 300 y SPA 500 que llegaron al final de su vida útil.
El proveedor no ha puesto a disposición correcciones para estos dispositivos ni ha compartido consejos de mitigación, por lo que los usuarios de esos productos tendrán que migrar a modelos más nuevos y con soporte activo lo antes posible.
Detalles de la vulnerabilidad
Cisco ha revelado cinco fallas, tres calificadas como críticas (puntuación CVSS v3.1: 9,8) y dos categorizadas como de alta gravedad (puntuación CVSS v3.1: 7,5).
Las vulnerabilidades críticas se rastrean como CVE-2024-20450, CVE-2024-20452 y CVE-2024-20454.
Estas vulnerabilidades de desbordamiento de búfer permiten que un atacante remoto no autenticado ejecute comandos arbitrarios en el sistema operativo subyacente con privilegios de root enviando una solicitud HTTP especialmente diseñada al dispositivo de destino.
«Una explotación exitosa podría permitir al atacante desbordar un buffer interno y ejecutar comandos arbitrarios en el nivel de privilegio root», advierte Cisco en el boletín .
Las dos fallas de alta gravedad son CVE-2024-20451 y CVE-2024-20453. Son causadas por comprobaciones inadecuadas de los paquetes HTTP, que permiten que los paquetes maliciosos provoquen una denegación de servicio en el dispositivo afectado.
Cisco señala que las cinco fallas afectan a todas las versiones de software que se ejecutan en los teléfonos IP SPA 300 y SPA 500, independientemente de su configuración, y son independientes entre sí, lo que significa que pueden explotarse individualmente.
PRUEBAS «DAST» DE SEGURIDAD DE APLICACIONES WEB
Escanee fácilmente en lugares a los que la mayoría de los escáneres DAST de vulnerabilidades no pueden llegar.
Conocer..
Fin del soporte
Según el portal de soporte de Cisco , SPA 300 se vendió por última vez a los clientes en febrero de 2019 y llegó al final de su soporte tres años después, en febrero de 2022.
Para SPA 500, el proveedor dejó de vender el hardware en la misma fecha en que llegó al final del soporte, el 1 de junio de 2020 .
Cabe señalar que Cisco todavía cubre SPA 500 hasta el 31 de mayo de 2025 para los titulares de contratos de servicio o términos de garantía especiales, pero SPA 300 no está cubierto desde el 29 de febrero de 2024.
Ninguno de los dos recibirá una actualización de seguridad, por lo que se recomienda a los usuarios que realicen la transición a modelos más nuevos y compatibles, como el Cisco IP Phone 8841 o un modelo de la serie Cisco 6800.
Cisco también ofrece un Programa de Migración de Tecnología (TMP), que permite a los clientes intercambiar productos elegibles y recibir crédito para nuevos equipos.
A quienes no estén seguros de sus opciones se les recomienda ponerse en contacto con el Centro de asistencia técnica (TAC) de Cisco.
Fuente: bleepingcomputer
