Cisco ha publicado un nuevo aviso de seguridad que advierte de una falla de alta gravedad que afecta al firmware de las series IP Phone 7800 y 8800 que podría ser potencialmente explotada por un atacante no autenticado para causar la ejecución remota de código o una condición de denegación de servicio (DoS).
El especialista en equipos de red dijo que está trabajando en un parche para abordar la vulnerabilidad, que se rastrea como CVE-2022-20968 (puntuación CVSS: 8.1) y se deriva de un caso de validación de entrada insuficiente de los paquetes recibidos de Cisco Discovery Protocol (CDP).
CDP es un protocolo propietario independiente de la red que se utiliza para recopilar información relacionada con dispositivos cercanos conectados directamente, como hardware, software y nombre de dispositivo, entre otros. Está habilitado de forma predeterminada.
“Un atacante podría explotar esta vulnerabilidad enviando tráfico diseñado de Cisco Discovery Protocol a un dispositivo afectado”, dijo la compañía en una alerta publicada el 8 de diciembre de 2022.
“Un exploit exitoso podría permitir al atacante causar un desbordamiento de pila, lo que resultaría en una posible ejecución remota de código o una condición de denegación de servicio (DoS) en un dispositivo afectado”.
Los teléfonos IP de Cisco que ejecutan la versión de firmware 14.2 y anteriores se ven afectados. Un parche está programado para su lanzamiento en enero de 2023, y la compañía indica que no hay actualizaciones ni soluciones para remediar el problema.
Sin embargo, en las implementaciones que admiten CDP y Link Layer Discovery Protocol (LLDP) para la detección de vecinos, los usuarios pueden optar por deshabilitar CDP para que los dispositivos afectados cambien a LLDP para anunciar su identidad y capacidades a pares conectados directamente en una red de área local (LAN).
“Este no es un cambio trivial y requerirá diligencia en nombre de la empresa para evaluar cualquier impacto potencial en los dispositivos, así como el mejor enfoque para implementar este cambio en su empresa”, dijo la compañía.
Además, advirtió que es consciente de la disponibilidad de un exploit de prueba de concepto (PoC) y que la deficiencia se ha divulgado públicamente. No hay evidencia de que la vulnerabilidad haya sido abusada activamente en la naturaleza hasta la fecha.
Qian Chen del equipo Codesafe de Legendsec en Qi’anxin Group ha sido acreditado con el descubrimiento y la notificación de la vulnerabilidad.
