思科今天披露了一个影响其最新一代 IP 电话的高危漏洞,并使这些电话遭受远程代码执行和拒绝服务 (DoS) 攻击。
该公司周四警告称,其产品安全事件响应小组 (PSIRT)“意识到概念验证漏洞利用代码可用”,并且“漏洞已被公开讨论”。
然而,思科的 PSIRT 补充说,它还没有发现任何利用此漏洞进行攻击的企图。
思科在披露之前尚未发布安全更新来解决此漏洞,并表示将于 2023 年 1 月推出补丁。
CVE-2022-20968,作为跟踪的安全漏洞,是由收到的思科发现协议数据包的输入验证不足引起的,未经身份验证,相邻的攻击者可以利用它来触发堆栈溢出。
受影响的设备包括运行7800 和 8800 系列固件版本 14.2 及更早版本的 Cisco IP 电话。
该漏洞由奇安信集团 Legendsec Codesafe 团队的 Qian Chen 报告给思科。
某些设备可用的缓解措施
虽然解决 CVE-2022-20968 的安全更新或解决方法尚不可用,但思科为希望保护其环境中易受攻击的设备免受潜在攻击的管理员提供了缓解建议。
这需要在受影响的 IP 电话 7800 和 8800 系列设备上禁用思科发现协议,这些设备也支持用于邻居发现的链路层发现协议 (LLDP)。
“然后,设备将使用 LLDP 来发现配置数据,例如语音 VLAN、电源协商等,”思科在周四发布的安全公告中解释说。
“这不是一个微不足道的变化,需要代表企业尽职尽责地评估对设备的任何潜在影响以及在其企业中部署此变化的最佳方法。”
建议想要部署此缓解措施的管理员测试其在其环境中的有效性和适用性。
思科警告说,“客户在首先评估对他们自己环境的适用性以及对此类环境的任何影响之前,不应部署任何变通办法或缓解措施。”
