Cisco phát hành các bản vá cho các lỗ hổng bảo mật trên điện thoại IP (IP Phone)
Ngày đăng: 22/03/2019
Cisco cảnh báo về các lỗ hổng SIP trong các điện thoại IP dòng 8800 và 7800
Cisco 7800 Series là dòng điện thoại IP (Internet Protocol) có thể linh động triển khai ở mọi nền tảng hạ tầng mạng như On Premises, Cloud, Webex Calling hoặc các phần mềm của bên thứ 3 cung cấp. 7800 IP phone của Cisco hướng đến tối thiểu hóa chi phi đầu tư ban đầu cho doanh nghiệp SMB từ đó tối đa hóa hiệu quả cho hoạt động kinh doanh. 8800 Series lại là sản phẩm điện thoại IP chủ lực cua Cisco nhắm vào phân khúc khách hàng cao cấp với nhiều yêu cầu về các tính năng nâng cao so với dòng 7800.



Cisco đã khuyến cáo khách hàng đang sử dụng điện thoại IP dòng 7800 và 8800 nên cập nhật bản vá lỗ hổng bảo mật ngay trong tuần này. Các lỗ hổng này được đánh giá ở mức ưu tiên cao (high priority) có thể dẫn đến nguy cơ gây từ chối dịch vụ (DoS) và các vấn đề bảo mật nghiêm trọng khác.

Công ty đã phát hành năm bản vá bảo mật, bốn bản dành cho 8800 và một bản dành cho cả hai dòng 8800 và 7800. Các bản vá sẽ khắc phục các lỗ hổng bảo mật, bao gồm:

- Lỗ hổng trong giao diện quản lý thiết bị dựa trên nền tảng web với giao thức khởi tạo Phiên (SIP) cho Cisco IP Phone 8800 Series có thể cho tin tặc thực hiện tấn công từ xa và ghi các tệp tùy ý vào hệ thống tệp tin của thiết bị. Kẻ tấn công có thể khai thác lỗ hổng này bằng cách tải các tệp không hợp lệ lên thiết bị bị ảnh hưởng.
    Đường dẫn tải bản vá:
    https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190320-ipptv

- Điểm yếu bảo mật khác cũng trong giao diện quản lý thiết bị dựa trên nền tảng web với giao thức khởi tạo Phiên (SIP) của dòng Cisco IP Phone 8800 Series có thể cho phép kẻ tấn công từ xa bỏ qua các bước xác thực, truy cập các dịch vụ quan trọng và gây ra tình trạng từ chối dịch vụ (DoS). Lỗ hổng tồn tại do hệ thống không kiểm duyệt các đường dẫn URL không an toàn trước khi xử lý các yêu cầu. Kẻ tấn công có thể khai thác lỗ hổng này bằng cách gửi URL được tạo thủ công.
    Đường dẫn tải bản vá:
    https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190320-ipab

- Lỗ hổng bảo mật nterface trong giao diện quản lý của dòng điện thoại Cisco IP Phone 8800 Series có thể cho phép kẻ tấn công từ xa bỏ qua các bước xác thực và thực hiện một cuộc tấn công CSRF. Lỗ hổng là do chức năng chống CSRF không đủ mạnh. Kẻ tấn công có thể khai thác lỗ hổng này bằng cách chuyển hướng người dùng đến trang xác thực giả mạo.
    Đường dẫn tải bản vá:
    https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190320-ip-phone-csrf

- Lỗ hổng cuối cùng ảnh hưởng đến cả hai điện thoại. Điểm yếu bảo mật ở giao diện quản lý Cisco IP Phone 7800 Series và Cisco IP Phone 8800 Series. Nếu khai thác thành công có thể cho phép kẻ tấn công kích hoạt chức năng download của các thiết bị bị ảnh hưởng, dẫn đến tình trạng DoS hoặc thực thi mã tùy ý với các đặc quyền của người dùng ứng dụng. Lỗ hổng này tồn tại do hệ thống phần mềm xác nhận không đúng cách dữ liệu đầu vào do người dùng cung cấp trong quá trình xác thực người dùng. Kẻ tấn công có thể khai thác lỗ hổng này bằng cách kết nối với thiết bị bị ảnh hưởng bằng HTTP và cung cấp thông tin xác thực người dùng độc hại.
    Đường dẫn tải bản vá:
    https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190320-ip-phone-rce

Các lỗ hổng này ảnh hưởng trực tiếp đến dòng Điện thoại IP của Cisco đang sử dụng phiên bản phát hành phần mềm SIP trước 11.0 cho Điện thoại IP không dây dòng 8821-EX và phiên bản 12.5 SR1 cho Điện thoại IP dòng 8832 và IP Phone dòng 8800.

Cisco cho biết họ đã phát hành các bản vá miễn phí cho tất cả các vấn đề về bảo mật và khuyến cáo khách hàng truy cập đường dẫn sau để xem cách tải về và cài đặt.
    https://www.cisco.com/c/en/us/about/legal/cloud-and-software/end_user_license_agreement.html
DTD

Tin liên quan

Trang 1 / 80 - 794 dòngFirstPrevNextLast v
Trang 1 / 80 - 794 dòngFirstPrevNextLast v

Các đơn vị đối tác

TRUNG TÂM PHÁT TRIỂN HẠ TẦNG CÔNG NGHỆ THÔNG TIN ĐÀ NẴNG

Giấy phép: Số 151/GP-TTĐT do Sở Thông tin và Truyền thông cấp ngày 15/4/2015.

Trưởng Ban biên tập: Nguyễn Thị Huyền Thu, Phó giám đốc Trung tâm Phát triển hạ tầng Công nghệ thông tin Đà Nẵng.

Trụ sở: Tòa nhà 02 Quang Trung, Phường Thạch Thang, Quận Hải Châu, Tp Đà Nẵng.

Điện thoại: 84.236.3888.666 Fax 84.236.3888.879 Email: iid@danang.gov.vn.