Cisco telah mengungkapkan kerentanan dalam antarmuka manajemen berbasis web dari Cisco SPA112 2-Port Phone Adapters, memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk mengeksekusi kode arbitrer pada perangkat.
Dilacak sebagai CVE-2023-20126 dan memiliki skor CVSS “kritis” 9,8, kerentanan ini disebabkan oleh proses autentikasi yang hilang dalam fungsi pemutakhiran firmware.
“Penyerang dapat mengeksploitasi kerentanan ini dengan memutakhirkan perangkat yang terpengaruh ke versi firmware buatan,” tulisnya Buletin keamanan Cisco
“Eksploitasi yang berhasil memungkinkan penyerang mengeksekusi kode arbitrer pada perangkat yang terpengaruh dengan hak istimewa penuh.”
Adaptor telepon ini adalah pilihan populer di industri untuk menggabungkan telepon analog ke jaringan VoIP tanpa peningkatan.
Sementara adaptor ini dapat digunakan di banyak organisasi, kemungkinan besar mereka tidak terpapar ke Internet, membuat kelemahan ini sebagian besar dapat dieksploitasi dari jaringan lokal.
Namun, mendapatkan akses ke perangkat ini dapat membantu pelaku ancaman menyebar secara lateral di jaringan tanpa terdeteksi, karena perangkat lunak keamanan biasanya tidak memantau jenis perangkat ini.
Karena Cisco SPA112 telah mencapai akhir masa pakainya, tidak lagi didukung oleh vendor dan tidak akan menerima pembaruan keamanan. Selain itu, Cisco tidak memberikan mitigasi untuk CVE-2023-20136.
Buletin keamanan Cisco bertujuan untuk meningkatkan kesadaran akan perlunya mengganti adaptor telepon yang terpengaruh atau menerapkan lapisan keamanan tambahan untuk melindunginya dari serangan.
Model pengganti yang disarankan adalah Cisco ATA 190 Series Analog Telephone Adapter, yang memiliki tanggal akhir masa pakai yang ditentukan pada 31 Maret 2024.
Perusahaan tidak mengetahui adanya contoh eksploitasi aktif CVE-2023-20136 di alam liar, tetapi ini dapat berubah kapan saja, jadi admin disarankan untuk segera mengambil tindakan pencegahan yang sesuai.
Cacat keparahan kritis pada perangkat yang pernah populer adalah kandidat potensial untuk digunakan dalam serangan, berpotensi menyebabkan insiden keamanan berskala besar.
