Attention, utilisateurs de Cisco ! Cisco a récemment révélé de nombreuses vulnérabilités dans les téléphones IP de la série SPA500, confirmant qu'il n'existe aucune solution de contournement pour ces failles. De plus, l'entreprise n'a pas l'intention de résoudre les problèmes car ces appareils ont atteint leur fin de vie. Par conséquent, les utilisateurs doivent envisager de se débarrasser des appareils vulnérables au plus tôt.
Vulnérabilités des téléphones IP de Cisco
Dans un avis récent, Cisco a décrit deux vulnérabilités différentes affectant ses téléphones IP de la série SPA500.
Les SPA500 sont des téléphones IP pour petites entreprises de Cisco qui offrent des communications abordables avec de nombreuses fonctions de soutien telles que l'audio à large bande, la prise en charge du Bluetooth et du WiFi, etc. Leur utilisation courante dans diverses petites et grandes entreprises indique l'étendue de l'impact de tout exploit impliquant des vulnérabilités dans ces appareils.
Selon Cisco, la première de ces vulnérabilités comprend une vulnérabilité de script intersite (CVE-2023-20181). La vulnérabilité existait “en raison d'une validation insuffisante des entrées fournies par l'utilisateur par l'interface de gestion basée sur le Web du logiciel affecté.” L'exploitation de la faille pouvait permettre à un adversaire distant non authentifié d'exécuter des codes arbitraires ou d'accéder aux données du navigateur. Alors que pour atteindre cet objectif, l'attaquant devait inciter l'utilisateur victime à cliquer sur un lien malicieusement conçu.
La deuxième vulnérabilité, CVE-2023-20218, comprend une injection HTML due à une validation insuffisante des entrées utilisateur par l'interface de gestion basée sur le web. Un adversaire distant et non authentifié pourrait facilement exploiter cette faille en incitant la victime à cliquer sur un lien malicieusement conçu. Une fois cela fait, l'attaquant pourrait effectuer des attaques côté client, telles que l'injection de redirections malveillantes à partir de la page web cible.
La firme a remercié les chercheurs Ahmed Hassan et Josef Hassan de Titanium Cyber Security Solutions pour avoir découvert et signalé ces vulnérabilités.
Il n'est pas prévu de corriger les failles en raison de la fin de vie des appareils
Comme l'explique l'avis, les deux vulnérabilités ont reçu une note de gravité moyenne et un score CVSS de 6,1. De plus, l'entreprise n'a détecté aucune tentative d'exploitation active des failles.
Cependant, ces failles sont importantes pour les utilisateurs car l'entreprise a confirmé qu'elle ne s'occuperait pas de ces problèmes. En effet, les téléphones IP SPA500 ont atteint leur fin de vie. Par conséquent, il n'existe pas de solution de contournement pour atténuer les problèmes. Par conséquent, le seul moyen pour les utilisateurs de protéger leurs réseaux contre les menaces potentielles est de migrer vers d'autres appareils.
Fais-nous part de tes réflexions dans les commentaires.
