Cisco a mis en garde contre une faille de sécurité critique dans les adaptateurs téléphoniques SPA112 à 2 ports, qui pourrait être exploitée par un attaquant distant pour exécuter un code arbitraire sur les appareils concernés.
L’entreprise a remercié Catalpa, de DBappSecurity, d’avoir signalé la faille.
«Cette vulnérabilité est due à un processus d’authentification manquant dans la fonction de mise à jour du micrologiciel», a déclaré la société dans un bulletin.
«Un attaquant pourrait exploiter cette vulnérabilité en mettant à jour un appareil concerné avec une version de micrologiciel élaborée. Une exploitation réussie pourrait permettre à l’attaquant d’exécuter un code arbitraire sur l’appareil concerné avec tous les privilèges.»
Elle recommande aux utilisateurs de migrer vers un adaptateur téléphonique analogique Cisco ATA 190 Series, dont la dernière mise à jour est prévue pour le 31 mars 2024.
Rien n’indique que cette faille ait été exploitée de manière malveillante dans la nature.