Vulnérabilités des téléphones IP Cisco Small Business SPA 300 et SPA 500 : Révélations sur des failles critiques.
Les téléphones IP Cisco de la série Small Business SPA 300 et SPA 500 présentent des vulnérabilités dans leur interface web de gestion. Découvrons ensemble ces failles de sécurité.
Les vulnérabilités des téléphones IP Cisco
Un bulletin de sécurité de Cisco a identifié trois failles, dont une critique, référencées par les CVE-2024-20450, CVE-2024-20452 et CVE-2024-20454. Ces vulnérabilités permettent à un attaquant distant non authentifié d’exécuter des commandes en tant que root sur le système d’exploitation sous-jacent.
La principale cause de ces failles est le non-contrôle des paquets HTTP entrants, pouvant entraîner un débordement de la mémoire tampon. Un attaquant pourrait exploiter cette faille en envoyant une requête HTTP élaborée.
En plus de cette vulnérabilité critique, d’autres failles (CVE-2024-20451 et CVE-2024-20453) peuvent entraîner un déni de service sur les téléphones IP ciblés.
Impact sur la série SPA 300 et SPA 500
Les téléphones IP des séries Cisco Small Business SPA 300 et SPA 500 sont affectés par ces failles de sécurité. Malheureusement, Cisco ne proposera pas de correctif alors que ces vulnérabilités sont maintenant publiques. La solution actuelle consiste en l’isolation des appareils au niveau du réseau.
La série SPA 300 a été mise sur le marché en février 2019 et a atteint la fin de son support en février 2022. Quant à la série SPA 500, le support a pris fin en juin 2020.
Cisco maintient encore la série SPA 500 jusqu’au 31 mai 2025 pour les utilisateurs avec des contrats de service. En revanche, la série SPA 300 n’est plus couverte depuis le 29 février 2024. La meilleure solution serait de renouveler les appareils avec des modèles pris en charge par le constructeur, bien que cela nécessite un investissement financier.
Source : www.it-connect.fr