CVE-2020-3161| Cisco IP Phones远程代码执行漏洞通告
发布时间 2020-04-210x00 漏洞概述
0x01 漏洞详情
4月15日,思科发布安全公告,称其 IP 电话的 web 服务器中存在一个严重缺陷,可导致未经身份验证的远程攻击者以 root 权限执行代码或发动拒绝服务攻击。该漏洞影响用于中小企业的多个思科 IP 电话版本,CVSS评分9.8。
该漏洞是由于缺乏对HTTP请求的正确输入验证所致。 攻击者将一个特殊构造的 HTTP 请求发送到 /deviceconfig/setActivationCode端点(在目标设备的 web 服务器上),在 libHTTPService.so 中,/deviceconfig/setActivationCode 之后的参数用于通过一个 sprint 函数调用创建新的 URI,该参数字符串的长度并未得到检查。成功利用此漏洞使攻击者能够以root权限远程执行代码,或导致重新加载受影响的IP电话,导致拒绝服务。
EXP: https://cxsecurity.com/issue/WLB-2020040100
0x02 处置建议
升级补丁,下载链接:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-voip-phones-rce-dos-rB6EeRXs
临时措施:禁用 IP 电话上的 web 访问权限。
默认情况下,Web访问是禁用的。 管理员可以通过以下方法从Cisco Unified Communications Manager中检查Web访问配置:选择Device > Phone > Select a Phone,然后检查Web 访问是否设置为“启用”或“禁用”。 如果将其设置为“禁用”,则IP电话不会受到攻击。
0x03 相关新闻
https://threatpost.com/critical-cisco-ip-phone-rce-flaw/154864/
0x04 参考链接
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-voip-phones-rce-dos-rB6EeRXs
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202004-1099
0x05 时间线
2020-04-15 Cisco发布公告
2020-04-15 CVE发布该漏洞
京公网安备11010802024551号