Новости Cisco работает над патчем для опасной уязвимости, затрагивающей IP-телефоны

NewsMaker

I'm just a script
Премиум
13,896
20
8 Ноя 2022

Для нее не существует обходных путей, остается надеяться только на патч, который будет выпущен к январю 2023.​


rmhb8pykblk65ijt555i750wyfntffl6.png


Уязвимость, отслеживаемая под идентификатором CVE-2022-20968 (получила оценку 8.1 из 10 по шкале CVSS), затрагивает IP-телефоны описывает уязвимость как переполнение буфера, связанное с функцией обработки протокола Discovery Protocol. По мнению экспертов Cisco, неавторизованный злоумышленник может воспользоваться этой брешью в защите, отправляя специальные пакеты протокола Discovery Protocol на целевое устройство, что способно привести к выполнению произвольного кода или отказу в обслуживании.

CVE-2022-20968 затрагивает IP-телефоны Cisco с 14.2 и более ранними версиями прошивки. Выпуск патча запланирован на январь 2023 года.

Компания заявила, что ничего не слышала об атаках с использованием этой уязвимости, но отметила, что ИБ-специалисты активно обсуждали CVE-2022-20968. Кроме того, для бреши в защите уже выпущен эксплойт.

Компания заявила, что ей ничего не известно о вредоносных атаках, использующих уязвимость, но отметила, что недостаток "публично обсуждался", и уже доступен эксплойт для доказательства концепции (PoC).

В своем сообщении Cisco упомянула Цяня Чена из китайской ИБ-фирмы Codesafe Team. Именно он нашел уязвимость и сообщил о ней компании.
 
Источник новости
https://www.securitylab.ru/news/535231.php

Похожие темы