Cisco patches critical Web UI RCE flaw in multiple IP phones
Cisco ได้ออกแพตช์อัปเดตเพื่อแก้ไขช่องโหว่ Remote Code Execution ที่เกิดขึ้นใน Web UI บน IP Phone หลายรุ่น ช่องโหว่ CVE-2023-20078 ที่ทำให้ผู้โจมตีสามารถทำ Remote Code Execution ไปยังอุปกรณ์ IP Phone ได้โดยที่ไม่จำเป็นต้องยืนยันตัวตน นอกจากนี้ยังมีช่องโหว่ CVE-2023-20079 ที่สามารถทำให้เกิด Denial-of-service (DoS) ได้ ซึ่งช่องโหว่ทั้งสองตัวเกิดขึ้นในกระบวนการตรวจสอบ Input ในหน้า Web-based Management
อุปกรณ์ที่ได้รับผลกระทบจากช่องโหว่นี้ได้แก่ Cisco IP Phone 6800, 7800, 8800 Series ที่ใช้ Multiplatform Firmware ซึ่งเสี่ยงต่อการโจมตีทั้ง RCE และ DoS นอกจากนี้ยังมี Unified IP Conference Phone 8831 และ Unified IP Phone 7900 Series ซึ่งเสี่ยงต่อการโจมตี DoS เท่านั้น
ปัจจุบันช่องโหว่ทั้งสองยังไม่มี Workaround ในการแก้ไข ทางด้าน Cisco จึงแนะนำให้ผู้ดูแลระบบทำการอัปเดตแพตช์ในทันที
https://www.bleepingcomputer.com/news/security/cisco-patches-critical-web-ui-rce-flaw-in-multiple-ip-phones/