思科爆出严重漏洞CVE-2022-20968，更新补丁明年一月才能发布

根据披露，近日思科发布了新的安全公告，指出IP电话（网络电话）7800和8800系列某个固件中存在高危漏洞，一旦攻击者成功利用该漏洞，或引发远程代码执行或拒绝服务（DoS）情况(CVE-2022-20968)。

思科公司是全球领先的网络解决方案供应商。Cisco的名字取自San Francisco（旧金山），那里有座闻名于世界的金门大桥。可以说，依靠自身的技术和对网络经济模式的深刻理解，思科成为了网络应用的成功实践者之一。

该漏洞被追踪为 CVE-2022-20968（CVSS 评分：8.1），由 Qianxin Group Legendsec Codesafe 团队的 Qian Chen 发现并报告。据悉，漏洞产生的原因是在收到 Cisco 发现协议（CDP）数据包时，存在输入验证不足的情况，思科目前正在积极开发新补丁来解决漏洞问题。

注：通过运行 CDP 协议，思科设备能够在与它们直连的设备之间分享有关操作系统软件版本，以及 IP 地址，硬件平台等相关信息。（默认情况下自动开启。）

2022 年 12 月 8 日，Cisco 在一份公告中表示，潜在攻击者可以通过向受影响设备发送“精心制作”的思科发现协议流量来利用这一漏洞，若成功利用漏洞，潜在攻击者能够造成堆栈溢出，导致受影响设备上可能出现远程代码执行或拒绝服务（DoS）的情况。

值得一提的是，漏洞主要影响运行固件版本 14.2 及更早版本的Cisco IP 电话，思科方面声称目前暂时没有更新补丁和解决方案来解决该问题，但公司正在加紧开发更新补丁，计划在 2023 年 1 月发布。

此外，在同时支持 CDP 和链路层发现协议（LLDP）用于邻居发现的部署中，用户可以选择禁用 CDP，以便受影响的设备能够切换到 LLDP，向局域网（LAN）中直连的对等设备公布其身份和能力。这种变化可能会带来其它安全风险，需要企业努力评估设备可能会受到的任何潜在影响。

最后，思科强调，CVE-2022-20968 漏洞虽已被公开披露，但迄今为止，没有证据表明该漏洞在野外被积极滥用。

原文始发于微信公众号（郑州网络安全）：思科爆出严重漏洞CVE-2022-20968，更新补丁明年一月才能发布