Les adaptateurs téléphoniques Cisco vulnérables à des attaques RCE

Dans un bulletin de sécurité publié le 3 mai 2023, Cisco a annoncé l’identification d’une vulnérabilité dans son interface de gestion web des adaptateurs téléphoniques à 2 ports référencés SPA112.

La vulnérabilité permettrait à un attaquant d’exécuter du code arbitraire à distance sur les appareils (RCE) avec tous les privilèges nécessaires. Référencée CVE-2023-20126, la vulnérabilité possède un score CVSS critique de 9.8 et serait la cause d’un processus d’authentification manquant dans la fonction de mise à jour du micrologiciel.

Selon les chercheurs de Cisco, l’attaquant pourrait exploiter cette vulnérabilité via la mise à jour des adaptateurs téléphoniques compromis par une version altérée du firmware. Ces adaptateurs représentent une infrastructure stratégique dans l’incorporation des téléphones analogiques au sein des réseaux VoIP sans mise à niveau.

Selon BleepingComputer, bien que ces adaptateurs soient utilisés dans de nombreuses entreprises, ils ne sont généralement pas connectés à Internet, les rendant principalement exploitables à partir du réseau local.

En fin de commercialisation, les adapteurs Cisco SPA112 ne devraient pas recevoir de mise à jour de sécurité pour fixer la CVE-2023-20126. Le communiqué de Cisco invite les utilisateurs à remplacer leurs SPA112 par l’adaptateur téléphonique analogique Cisco ATA 190 Series, dont la date de fin de vie est fixée au 31 mars 2024.

Avis d’expert

Le CERT-XMCO n’a pas connaissance de cas d’exploitation active de la vulnérabilité CVE-2023-20126. Néanmoins, il est conseillé aux administrateurs de prendre les précautions appropriées de toute urgence.

Vulnérable

Cisco SPA112 2-Port Phone Adapters

Références

• https://www.bleepingcomputer.com/news/security/cisco-phone-adapters-vulnerable-to-rce-attacks-no-fix-available/
• https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-spa-unauth-upgrade-UqhyTWW