思科爆出嚴重漏洞,更新補丁明年一月才能發布!
發布時間 2022-12-12The Hacker News 網站披露,近日思科發布了新的安全公告,指出 IP 電話(網絡電話) 7800 和 8800 系列某個固件中存在高危漏洞,一旦攻擊者成功利用該漏洞,或引發遠程代碼執行或拒絕服務(DoS)情況。
漏洞被追蹤為 CVE-2022-20968(CVSS 評分:8.1),由 Qianxin Group Legendsec Codesafe 團隊的 Qian Chen 發現并報告。據悉,漏洞產生的原因是在收到 Cisco 發現協議(CDP)數據包時,存在輸入驗證不足的情況,思科目前正在積極開發新補丁來解決漏洞問題。
注:通過運行 CDP 協議,思科設備能夠在與它們直連的設備之間分享有關操作系統軟件版本,以及 IP 地址,硬件平臺等相關信息。(默認情況下自動開啟。)
漏洞最早要明年一月才能修復
2022 年 12 月 8 日,Cisco 在一份公告中表示,潛在攻擊者可以通過向受影響設備發送“精心制作”的思科發現協議流量來利用這一漏洞,若成功利用漏洞,潛在攻擊者能夠造成堆棧溢出,導致受影響設備上可能出現遠程代碼執行或拒絕服務(DoS)的情況。
值得一提的是,漏洞主要影響運行固件版本 14.2 及更早版本的Cisco IP 電話,思科方面聲稱目前暫時沒有更新補丁和解決方案來解決該問題,但公司正在加緊開發更新補丁,計劃在 2023 年 1 月發布。
此外,在同時支持 CDP 和鏈路層發現協議(LLDP)用于鄰居發現的部署中,用戶可以選擇禁用 CDP,以便受影響的設備能夠切換到 LLDP,向局域網(LAN)中直連的對等設備公布其身份和能力。這種變化可能會帶來其它安全風險,需要企業努力評估設備可能會受到的任何潛在影響。
最后,思科強調,CVE-2022-20968 漏洞雖已被公開披露,但迄今為止,沒有證據表明該漏洞在野外被積極濫用。
