15/11/2024

Actu Cybersécurité

Des téléphones IP Cisco vulnérables à des failles de sécurité zero-day !

Si vous utilisez des téléphones IP des séries Small Business SPA 300 et SPA 500 de chez Cisco, vous devriez lire cet article avec attention. Plusieurs vulnérabilités ont été découvertes dans l'interface web de gestion de ces appareils. Faisons le point.

Un nouveau bulletin de sécurité publié par Cisco évoque trois failles de sécurité, dont une vulnérabilité critique. Voici les références CVE associées : CVE-2024-20450, CVE-2024-20452, et CVE-2024-20454.

Ce bulletin de sécurité nous apprend qu'en exploitant ces vulnérabilités, un attaquant distant non authentifié d'exécuter des commandes arbitraires sur le système d'exploitation sous-jacent en tant que root.

"Ces vulnérabilités existent parce que les paquets HTTP entrants ne sont pas correctement vérifiés pour les erreurs, ce qui pourrait entraîner un débordement de la mémoire tampon. Un attaquant peut exploiter cette vulnérabilité en envoyant une requête HTTP élaborée à un appareil affecté.", peut-on lire. Autrement dit, il s'agit d'un buffer overflow.

Par ailleurs, Cisco évoque 2 autres vulnérabilités (CVE-2024-20451 et CVE-2024-20453) pouvant permettre à un attaquant de causer un déni de service sur le téléphone IP ciblé.

Les téléphones IP Cisco sont vulnérables !

Les téléphones IP des séries Cisco Small Business SPA 300 et SPA 500 sont vulnérables à ces failles de sécurité. Le problème, c'est que ce sont des appareils en fin de vie, et Cisco ne fournira pas de correctif de sécurité bien que ces vulnérabilités soient désormais divulguées. Il n'existe pas non plus de mesure d'atténuation disponible, si ce n'est l'isolation des appareils au niveau du réseau.

La série Cisco SPA 300 a été commercialisée à partir de février 2019 et a atteint la fin de son support trois ans plus tard, en février 2022. Du côté de la série Cisco SPA 500, le support a pris fin le 1er juin 2020.

Il convient de noter que Cisco couvre encore la série SPA 500 jusqu'au 31 mai 2025 pour les détenteurs de contrats de service. À l'inverse, la série SPA 300 n'est plus couverte depuis le 29 février 2024. La meilleure solution semble être le renouvellement des appareils pour passer sur des modèles encore pris en charge par le constructeur, ce qui nécessite de mettre la main au portefeuille...

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.