This post is also available in: Português
Recentemente, foram identificadas várias vulnerabilidades críticas nos telefones IP das séries Cisco Small Business SPA300 e SPA500, que expõem as organizações a riscos significativos de segurança. As falhas, catalogadas como CVE-2024-20450, CVE-2024-20452 e CVE-2024-20454, afetam a interface de gerenciamento baseada na web desses dispositivos e possuem uma pontuação de gravidade elevada no CVSS – 9.8. Essas vulnerabilidades permitem que atacantes remotos e não autenticados executem comandos arbitrários com privilégios de root, podendo comprometer a infraestrutura de comunicação da empresa.
Apesar da gravidade, a Cisco anunciou que não fornecerá atualizações de software para corrigir essas falhas.
Sobre as vulnerabilidades
As vulnerabilidades afetam principalmente a interface de gerenciamento baseada na web desses telefones IP. As CVEs CVE-2024-20450, CVE-2024-20452 e CVE-2024-20454 estão associadas a uma verificação inadequada de erros nos pacotes HTTP recebidos, o que pode resultar em uma condição de estouro de buffer. Um invasor pode explorar essa falha enviando requisições HTTP, manipuladas, permitindo a execução de comandos arbitrários com privilégios de root no sistema operacional subjacente.
Impacto e exploração
As consequências dessas vulnerabilidades são severas. Caso exploradas com sucesso, um invasor poderia obter controle total sobre o dispositivo, levando a acessos não autorizados, possíveis vazamentos de dados ou até mesmo à implantação de atividades maliciosas adicionais dentro da rede. Considerando que esses dispositivos frequentemente fazem parte de redes de comunicação maiores, os efeitos colaterais de tal exploração poderiam ser amplos, afetando operações empresariais e a integridade dos dados.
Falta de correções
Um dos pontos mais críticos é que a Cisco anunciou que não lançará atualizações de software para corrigir essas vulnerabilidades, uma vez que os Cisco Small Business SPA300 Series IP Phones e Cisco Small Business SPA500 Series IP Phones entraram no processo de fim de vida útil. Os clientes são aconselhados a consultar os avisos de fim de vida útil destes produtos.
Não há soluções alternativas para estas vulnerabilidades. É importante avaliar o risco e considerar a substituição dos telefones vulneráveis por modelos mais novos e suportados, que recebem atualizações regulares de segurança.
As vulnerabilidades nas séries Cisco Small Business SPA300 e SPA500 ressaltam os riscos associados ao uso de hardware desatualizado que não recebe mais atualizações de segurança. As organizações devem avaliar sua exposição e tomar medidas proativas para mitigar possíveis ameaças. Na ausência de patches oficiais, a alternativa mais viável é acatar as orientações do fabricante e substituir os dispositivos afetados.
This post is also available in: Português