خلاصه: سیسکو هشدار امنیتی جدیدی را درباره نقص شدیدی که بر سیستمافزار IP Phone 7800 و سری ۸۸۰۰ تأثیر میگذارد، منتشر کرده است که میتواند اجرای کد از راه دور یا وضعیت انکار سرویس (DoS) باشد.
سیسکو، مرکز تخصصی تجهیزات شبکه گفت که در حال کار بر روی یک وصله برای رفع این آسیبپذیری است که به عنوان CVE-2022-20968 (امتیاز CVSS: 8.1) است. این آسیبپذیری ناشی از یک مورد عدم اعتبار ورودی بستههای دریافت شده پروتکل کشف سیسکو یا CDP یا Cisco Discovery Protocol است.
CDP پروتکل اختصاصی مستقل از شبکه است که برای جمعآوری اطلاعات مربوط به دستگاههای متصل نزدیک مانند سختافزار، نرمافزار و نام دستگاه و... استفاده میشود. به طور پیش فرض فعال است. این شرکت در هشداری که در ۸ دسامبر ۲۰۲۲ منتشر شد، گفت: «مهاجم میتواند با ارسال ترافیک پروتکل کشف سیسکو به دستگاه آسیبدیده از این آسیبپذیری سوءاستفاده کند. اکسپلویت موفق میتواند به مهاجم اجازه دهد تا سرریز پشته ایجاد کند که منجر به اجرای کد از راه دور یا شرایط انکار سرویس (DoS) در دستگاه آسیبدیده شود.»
تلفن های IP سیسکو که نسخه سیستم عامل ۱۴.۲ و نسخه های قبلی را اجرا می کنند، تحت تأثیر این آسیبپذیری قرار می گیرند. وصلهای برای انتشار در ژانویه ۲۰۲۳ برنامهریزی شده است و شرکت اعلام کرده است که هیچ بهروزرسانی یا راهحلی برای رفع مشکل وجود ندارد.
با این حال، در توسعههایی که از هر دو پروتکل LLDP یا Link Layer Discovery Protocol و CDP برای کشف همسایه پشتیبانی میکنند، کاربران میتوانند CDP را غیرفعال کنند تا دستگاههای آسیبدیده برای تبلیغ هویت و قابلیتهای خود به LLDP برای ارتباط مستقیم با همسایگان در یک شبکه محلی تغییر کنند.
این شرکت میگوید: «این تغییر بیاهمیت نیست و نیاز به کوشش از طرف شرکت برای ارزیابی هرگونه تأثیر بالقوه بر دستگاهها و همچنین بهترین رویکرد برای استقرار این تغییر در شرکت آنها دارد».
همچنین هشدار داد که از در دسترس بودن یک سوءاستفاده اثبات مفهوم (PoC) آگاه است و این نقص به طور عمومی افشا شده است. هیچ مدرکی مبنی بر اینکه این آسیب پذیری تا به امروز به طور فعال مورد سوءاستفاده قرار گرفته باشد، وجود ندارد. Qian Chen از تیم Codesafe Legendsec در گروه Qi'anxin مسئول کشف و گزارش این آسیبپذیری است.