Cisco警告影响IP电话固件的高严重性未修补缺陷

Cisco发布了一项新的安全咨询警告，指出IP Phone 7800和8800系列固件存在严重缺陷，未经身份验证的攻击者可能会利用该漏洞导致远程代码执行或拒绝服务（DoS）情况。

这位网络设备专业人士表示，他们正在开发一个补丁来解决该漏洞，该漏洞被追踪为编号2022-20968（CVSS评分：8.1），并且源于接收到的Cisco发现协议（CDP）数据包的输入验证不足的情况。

CDP是一种专有的独立于网络的协议，用于收集与附近直接连接的设备相关的信息，例如硬件、软件和设备名称等。默认情况下已启用。

该公司在2022年12月8日发布的一份警告中说:“攻击者可以通过向受影响的设备发送精心制作的思科发现协议流量来利用这个漏洞”。

成功利用此漏洞可使攻击者造成堆栈溢出，从而在受影响的设备上可能导致远程代码执行或拒绝服务（DoS）情况

运行固件版本14.2及更早版本的Cisco IP电话受到影响。一个补丁计划于2023年1月发布，该公司表示没有更新或解决方案来解决该问题。

然而，在同时支持CDP和链路层发现协议（LLDP）用于邻居发现的部署上，用户可以选择禁用CDP，以便受影响的设备切换到LLDP，以向局域网（LAN）中直接连接的对等方宣传其身份和能力。

该公司表示：“这不是一个微不足道的变化，需要代表企业进行尽职调查，以评估对设备的任何潜在影响，以及在企业中部署这一变化的最佳方法”。

它还警告说，它知道概念验证（PoC）漏洞的可用性，并且该漏洞已被公开披露。迄今为止，没有证据表明该漏洞在野外被积极滥用。

Qianxin Group Legendsec Codesafe团队的Qian Chen被认为发现并报告了该漏洞。