Для нее не существует обходных путей, остается надеяться только на патч, который будет выпущен к январю 2023.
Уязвимость, отслеживаемая под идентификатором CVE-2022-20968 (получила оценку 8.1 из 10 по шкале CVSS), затрагивает IP-телефоны описывает уязвимость как переполнение буфера, связанное с функцией обработки протокола Discovery Protocol. По мнению экспертов Cisco, неавторизованный злоумышленник может воспользоваться этой брешью в защите, отправляя специальные пакеты протокола Discovery Protocol на целевое устройство, что способно привести к выполнению произвольного кода или отказу в обслуживании.
CVE-2022-20968 затрагивает IP-телефоны Cisco с 14.2 и более ранними версиями прошивки. Выпуск патча запланирован на январь 2023 года.
Компания заявила, что ничего не слышала об атаках с использованием этой уязвимости, но отметила, что ИБ-специалисты активно обсуждали CVE-2022-20968. Кроме того, для бреши в защите уже выпущен эксплойт.
Компания заявила, что ей ничего не известно о вредоносных атаках, использующих уязвимость, но отметила, что недостаток "публично обсуждался", и уже доступен эксплойт для доказательства концепции (PoC).
В своем сообщении Cisco упомянула Цяня Чена из китайской ИБ-фирмы Codesafe Team. Именно он нашел уязвимость и сообщил о ней компании.
- Источник новости
- https://www.securitylab.ru/news/535231.php