思科爆出嚴(yán)重漏洞,更新補(bǔ)丁明年一月才能發(fā)布!

發(fā)布時間 2022-12-12

The Hacker News 網(wǎng)站披露,近日思科發(fā)布了新的安全公告,指出 IP 電話(網(wǎng)絡(luò)電話) 7800 和 8800 系列某個固件中存在高危漏洞,一旦攻擊者成功利用該漏洞,或引發(fā)遠(yuǎn)程代碼執(zhí)行或拒絕服務(wù)(DoS)情況。


漏洞被追蹤為 CVE-2022-20968(CVSS 評分:8.1),由 Qianxin Group Legendsec Codesafe 團(tuán)隊的 Qian Chen 發(fā)現(xiàn)并報告。據(jù)悉,漏洞產(chǎn)生的原因是在收到 Cisco 發(fā)現(xiàn)協(xié)議(CDP)數(shù)據(jù)包時,存在輸入驗證不足的情況,思科目前正在積極開發(fā)新補(bǔ)丁來解決漏洞問題。


注:通過運(yùn)行 CDP 協(xié)議,思科設(shè)備能夠在與它們直連的設(shè)備之間分享有關(guān)操作系統(tǒng)軟件版本,以及 IP 地址,硬件平臺等相關(guān)信息。(默認(rèn)情況下自動開啟。)


漏洞最早要明年一月才能修復(fù)


2022 年 12 月 8 日,Cisco 在一份公告中表示,潛在攻擊者可以通過向受影響設(shè)備發(fā)送“精心制作”的思科發(fā)現(xiàn)協(xié)議流量來利用這一漏洞,若成功利用漏洞,潛在攻擊者能夠造成堆棧溢出,導(dǎo)致受影響設(shè)備上可能出現(xiàn)遠(yuǎn)程代碼執(zhí)行或拒絕服務(wù)(DoS)的情況。


值得一提的是,漏洞主要影響運(yùn)行固件版本 14.2 及更早版本的Cisco IP 電話,思科方面聲稱目前暫時沒有更新補(bǔ)丁和解決方案來解決該問題,但公司正在加緊開發(fā)更新補(bǔ)丁,計劃在 2023 年 1 月發(fā)布。


此外,在同時支持 CDP 和鏈路層發(fā)現(xiàn)協(xié)議(LLDP)用于鄰居發(fā)現(xiàn)的部署中,用戶可以選擇禁用 CDP,以便受影響的設(shè)備能夠切換到 LLDP,向局域網(wǎng)(LAN)中直連的對等設(shè)備公布其身份和能力。這種變化可能會帶來其它安全風(fēng)險,需要企業(yè)努力評估設(shè)備可能會受到的任何潛在影響。


最后,思科強(qiáng)調(diào),CVE-2022-20968 漏洞雖已被公開披露,但迄今為止,沒有證據(jù)表明該漏洞在野外被積極濫用。