1. 通告信息
近日,安识科技A-Team团队监测到Cisco发布安全公告,修复了Cisco IP Phone 7800 和 8800 系列的 Cisco Discovery Protocol(CDP)处理功能中的一个堆栈溢出漏洞(CVE-2022-20968),其CVSSv3评分为8.1。
对此,安识科技建议广大用户及时升级到安全版本,并做好资产自查以及预防工作,以免遭受黑客攻击。
2. 漏洞概述
漏洞名称:Cisco IP Phone CDP堆栈溢出漏洞
CVE编号:CVE-2022-20968
简述:
Cisco IP Phone 提供基于 Internet 协议 (IP) 网络的语音通信。
由于对收到的CDP数据包没有进行充分的输入验证,可以通过在未经身份验证的情况下向受影响的设备发送特制的CDP流量来造成堆栈溢出(相邻),可能导致拒绝服务或远程代码执行。
Cisco表示该漏洞已有可用的PoC/EXP,且漏洞已被公开讨论,但目前暂未发现漏洞利用。
3. 漏洞危害
由于对收到的CDP数据包没有进行充分的输入验证,可以通过在未经身份验证的情况下向受影响的设备发送特制的CDP流量来造成堆栈溢出(相邻),可能导致拒绝服务或远程代码执行。
Cisco表示该漏洞已有可用的PoC/EXP,且漏洞已被公开讨论,但目前暂未发现漏洞利用。
4. 影响版本
目前受影响的Cisco IP电话系列:
Cisco IP电话7800系列、8800 系列(Cisco 无线 IP 电话 8821 除外)固件版本:<= 14.2
5. 解决方案
Cisco将在Cisco IP电话7800系列、8800 系列的固件版本14.2(1)中修复该漏洞,该补丁将于2023 年1月发布。
受影响的Cisco IP电话7800系列、8800 系列用户可考虑应用如下缓解措施:
对于同时支持Cisco发现协议(CDP)和用于邻居发现的链路层发现协议(LLDP)的部署,管理员可以在受影响的IP电话7800和8800系列设备上禁用Cisco发现协议来作为临时缓解措施,然后设备将使用LLDP来发现配置数据,如语音VLAN、电源协商等。
注意:应用缓解措施之前,应慎重对客户环境的实际影响进行评估。
下载链接:
https://www.cisco.com/c/en/us/products/collaboration-endpoints/ip-phones/index.html
6. 时间轴
【-】2022年12月10日 安识科技A-Team团队监测到漏洞公布信息
【-】2022年12月11日 安识科技A-Team团队根据漏洞信息分析
【-】2022年12月12日 安识科技A-Team团队发布安全通告
原文始发于微信公众号(SecPulse安全脉搏):【漏洞预警】Cisco IP Phone CDP堆栈溢出漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论