Olá? Você está falando em um telefone IP Cisco SPA300 ou SPA500? Agora é hora de descartá-los
Um especialista da empresa britânica de defesa BAE encontrou três falhas críticas nos telefones IP Small Business SPA300 e SPA500 da Cisco — e mais algumas falhas desagradáveis —, nenhuma das quais será corrigida ou mitigada.
Em um consultivo publicado na quarta-feira, a Cisco explicou que as três falhas mais sérias – todas classificadas como CVSS 9.8 – afetam a interface de gerenciamento baseada na web dos dispositivos e podem permitir que um invasor remoto não autenticado obtenha privilégios de root.
As três piores vulnerabilidades – CVE-2024-20450, CVE-2024-20452 e CVE-2024-20454 – decorrem do fato de que o software não verifica se há erros nos pacotes HTTP recebidos. Um invasor pode, portanto, enviar uma solicitação HTTP elaborada para um dos telefones, causando um estouro de buffer e possibilitando a execução de comandos arbitrários – com os privilégios de root mencionados anteriormente.
As outras duas falhas – CVE-2024-20451 e CVE-2024-20453 – são menos sérias e ganham apenas uma pontuação CVSS de 7,8 graças ao seu escopo limitado. A Cisco relata que elas também estão relacionadas a problemas em mecanismos de verificação de HTTP, mas não permitem a execução de código. No entanto, elas oferecem uma chance de derrubar os telefones com um ataque de negação de serviço.
“A Cisco não lançou e não lançará atualizações de software para lidar com as vulnerabilidades descritas neste aviso”, escreveu a Switchzilla em seu alerta. “Os telefones IP Cisco Small Business SPA300 Series e os telefones IP Cisco Small Business SPA500 Series entraram no processo de fim de vida útil.”
Cisco formalmente parou de enviar correções para aparelhos SPA300 em 2020 e encerrou todo o suporte para os dispositivos em fevereiro de 2024. A última data em que os proprietários do SPA500 podem renovar os contratos de serviço é 27 de agosto de 2024, com obsolescência programada para 31 de maio de 2025.
Depois dessa data, a Cisco não ajudará mais – uma posição que também assumiu com adaptadores de telefone e roteadores considera que são tão antigos que os clientes precisam adquirir substituições.
Produtos como telefones de mesa, no entanto, são frequentemente assumidos como se continuassem funcionando para sempre – porque são apenas telefones – então os clientes não pensam em substituí-los da mesma forma que fazem com outras tecnologias. Muitas organizações terão que comprar um novo kit ou torcer para que os invasores não descubram como criar e despachar um pacote que trave seus aparelhos. A boa notícia é que a Cisco informa que não tem conhecimento de nenhuma exploração na natureza. Ainda.
As vulnerabilidades teriam sido encontradas por alguém que a Cisco identificou como “Aidan da BAE Systems Digital Intelligence”, sem fornecer um sobrenome. Encontramos pelo menos duas pessoas com esse nome na divisão de infosec da multinacional britânica. A BAE não tinha comentários no momento da publicação. ®