Cisco a publié un nouvel avertissement de sécurité concernant une faille de haute gravité affectant le micrologiciel des téléphones IP des séries 7800 et 8800 qui pourrait être potentiellement exploitée par un attaquant distant pour provoquer l’exécution de code à distance ou une condition de déni de service (DoS).
Le major de l’équipement réseau a déclaré qu’il travaillait sur un correctif pour remédier à la vulnérabilité, qui est suivie comme CVE-2022-20968 (score CVSS : 8,1) et découle d’un cas de validation d’entrée insuffisante des paquets Cisco Discovery Protocol (CDP) reçus.
Le CDP est un propriétaire protocole indépendant du réseau qui est utilisé pour collecter des informations relatives aux appareils à proximité directement connectés tels que le matériel, les logiciels et le nom de l’appareil, entre autres. Il est activé par défaut.
« Un attaquant pourrait exploiter cette vulnérabilité en envoyant du trafic Cisco Discovery Protocol spécialement conçu à un appareil affecté », a déclaré la société. a dit dans une alerte publiée le 8 décembre 2022.
« Un exploit réussi pourrait permettre à l’attaquant de provoquer un débordement de pile, entraînant une éventuelle exécution de code à distance ou une condition de déni de service (DoS) sur un appareil affecté. »
Les téléphones IP Cisco exécutant la version 14.2 du micrologiciel et les versions antérieures sont concernés. Un correctif est prévu pour janvier 2023, la société déclarant qu’il n’y a pas de mises à jour ou de solutions de contournement pour résoudre le problème.
Cependant, sur les déploiements qui prennent en charge à la fois CDP et Link Layer Discovery Protocol (LLDP) pour la découverte de voisins, les utilisateurs peuvent choisir de désactiver CDP afin que les appareils concernés passent à LLDP pour annoncer leur identité et leurs capacités aux pairs directement connectés dans un réseau local (LAN).
« Ce n’est pas un changement trivial et nécessitera une diligence de la part de l’entreprise pour évaluer tout impact potentiel sur les appareils ainsi que la meilleure approche pour déployer ce changement dans leur entreprise », a déclaré la société.
Il a en outre averti qu’il était au courant de la disponibilité d’un exploit de preuve de concept (PoC) et que la lacune avait été divulguée publiquement. Il n’y a aucune preuve que la vulnérabilité ait été activement abusée dans la nature à ce jour.
Qian Chen de l’équipe Codesafe de Legendsec du groupe Qi’anxin a été crédité d’avoir découvert et signalé la vulnérabilité.
