Поделиться
В IP-телефонах Cisco полно уязвимостей, которые она не намерена исправлять
Компания Cisco предупредила клиентов о найденных уязвимостях в моделях ее IP-телефонов SPA300 и SPA500, которые она считает устаревшими. Устранять дефекты ПО производитель сетевого оборудования не собирается, так он стимулирует пользователей к покупке новых устройств.
Заявление Cisco
Cisco опубликовала а своем сайте бюллетень с сообщением о «множестве» уязвимостей, обнаруженных в ее IP-телефонах и предупредила, что ни одна из них не будет устранена.
Эти уязвимости затрагивают все выпуски программного обеспечения, работающие на IP-телефонах Cisco Small Business SPA300 Series и Cisco Small Business SPA500 Series, независимо от конфигурации.
«Cisco не выпустила обновления ПО, устраняющие эти уязвимости. Нет обходных путей, устраняющих эти уязвимости», — говорится в сообщении компании.
Уязвимости были обнаружены неким специалистом, которого Cisco благодарит за информацию и называет «Эйдан из BAE Systems Digital Intelligence». Фамилия не уточняется.
Какие уязвимости найдены
В бюллетене описаны пять уязвимостей веб-интерфейса IP-телефонов Cisco Small Business SPA300 и SPA500.
Три из них — CVE-2024-20450, CVE-2024-20452 и CVE-2024-20454 — могут позволить неавторизованному удаленному пользователю выполнять произвольные команды в базовой операционной системе с привилегиями root.
Хакер может воспользоваться этой уязвимостью, отправив специально созданный HTTP-запрос на уязвимое устройство. Успешный эксплойт может позволить злоумышленнику переполнить внутренний буфер и выполнить произвольные команды на уровне привилегий root.
CVE-2024-20451 и CVE-2024-20453 приводят к DoS-атаке.
Исправлять не будут
«Cisco не выпускала и не будет выпускать обновления программного обеспечения для устранения уязвимостей, описанных в этом бюллетене. IP-телефоны Cisco Small Business SPA300 Series и IP-телефоны Cisco Small Business SPA500 Series вступили в процесс прекращения поддержки», — предупреждает компания.
Cisco официально прекратила всю поддержку устройств SPA300, по данным The Register, в феврале 2024 г. Последняя дата, когда владельцы SPA500 могут продлить контракты на обслуживание, — 27 августа 2024 г., а окончание поддержки запланировано на 31 мая 2025 г.
Обычно, пишет издание, такие продукты, как настольные телефоны, эксплуатируются долго, их не спешат менять, как это делают с другими технологиями.
Информация, содержащаяся в бюллетене о найденных уязвимостях, фактически означает, что клиентам следует уже сейчас поменять упомянутое оборудование, которое «устарело» по мнению Cisco, но продолжает работать.
Cisco в России
В России американский производитель сетевого оборудования Cisco прекратил работу в 2022 г. После этого поставки его «железа» к нам продолжились по параллельному импорту.
В 2022 г. выручка российской «Сиско системс», «дочки», занимавшейся обслуживанием оборудования компании, достигла 441,2 млн руб. Вместо чистой прибыли «Сиско системс» отрапортовала тогда о чистом убытке в размере 1,85 млрд руб. По сравнению с 2021 г. выручка упала на 76% — годом ранее она находилась на уровне 1,85 млрд руб.
С чистой прибылью у компании не сложилось и в 2021 г. хотя о миллиардных убытках речи тогда не было. Чистый убыток «Сиско системс» по итогам 2021 г. достиг 102,4 млн руб., то есть всего за год он вырос приблизительно в 18 раз.
Короткая ссылка
