Cisco a mis en garde contre une faille de sécurité critique dans les adaptateurs téléphoniques SPA112 à 2 ports, qui pourrait être exploitée par un attaquant distant pour exécuter un code arbitraire sur les appareils concernés.
L’entreprise a remercié Catalpa, de DBappSecurity, d’avoir signalé la faille.
« Cette vulnérabilité est due à un processus d’authentification manquant dans la fonction de mise à jour du micrologiciel », a déclaré la société dans un bulletin.
« Un attaquant pourrait exploiter cette vulnérabilité en mettant à jour un appareil concerné avec une version de micrologiciel élaborée. Une exploitation réussie pourrait permettre à l’attaquant d’exécuter un code arbitraire sur l’appareil concerné avec tous les privilèges. »
Elle recommande aux utilisateurs de migrer vers un adaptateur téléphonique analogique Cisco ATA 190 Series, dont la dernière mise à jour est prévue pour le 31 mars 2024.
Rien n’indique que cette faille ait été exploitée de manière malveillante dans la nature.
