CISCO ha rilasciato un nuovo avviso di sicurezza relativo ad un difetto molto grave che interessa il firmware di telefoni VoIP, IP Phone serie 7800 e 8800 che potrebbe essere potenzialmente sfruttato da un utente malintenzionato da remoto per causare l’esecuzione di codice dannoso o provocare una condizione di denial-of-service (DoS).
La maggioranza delle apparecchiature di rete, ha affermato CISCO, che sta lavorando a una patch per risolvere la vulnerabilità, che è segnalata come CVE-2022-20968 (punteggio CVSS: 8.1) e deriva da un caso di convalidazione di insufficiente inserimento dei pacchetti Cisco Discovery Protocol (CDP) ricevuti.
Se segui periodicamente questo sito avrai scoperto più volte l’importanza di fare gli aggiornamenti di Windows, lo stesso può valere addirittura per i telefoni VoIP che sono molto più lontani tecnologicamente da PC e Smartphone di oggi.
CDP è un protocollo proprietario indipendente dalla rete che viene utilizzato per raccogliere informazioni relative a dispositivi vicini e connessi direttamente come hardware, software collegati l’un l’altro tramite il nome del dispositivo (simile a quanto succede quando ci si connette con smartphone tramite bluetooth, per capirci).
Cosa dicono alla CISCO su questa falla nel firmware tei telefoni VoIP?
“Un utente malintenzionato potrebbe sfruttare questa vulnerabilità inviando traffico Cisco Discovery Protocol predisposto a un determinato dispositivo“, ha affermato la società in un avviso pubblicato l’8 dicembre 2022.
“Un exploit rilasciato con successo potrebbe consentire all’attaccante di causare uno stack overflow, con conseguente possibile esecuzione di codice da remoto o una condizione di negazione del servizio (DoS) su un determinato dispositivo“.
I telefoni VoIP CISCO che eseguono la versione firmware 14.2 e precedenti sono quelli colpiti dal problema; una patch è prevista per gennaio 2023; la società che afferma che non ci sono aggiornamenti o soluzioni alternative per risolvere il problema, sarà quindi necessario aspettare l’intervento da remoto della casa madre.
Esiste, tuttavia, una soluzione temporanea per aggirare il problema
Tuttavia, nelle distribuzioni che supportano sia CDP che Link Layer Discovery Protocol (LLDP) per il rilevamento dei dispositivi vicini, gli utenti possono scegliere di disabilitare CDP in modo che i dispositivi interessati passino a LLDP per dichiarare ad un server la propria identità e capacità ai peer connessi direttamente in una rete locale (LAN).
“Questo non è un cambiamento banale e richiederà diligenza da parte dell’azienda per valutare qualsiasi potenziale impatto sui dispositivi, nonché l’approccio migliore per implementare questo cambiamento nella propria azienda“, ha affermato la società nel suo comunicato.
La compagnia ha inoltre avvertito di essere a conoscenza della possibilità di un exploit proof-of-concept (PoC) e che il difetto è stato divulgato pubblicamente. Non ci sono prove che la vulnerabilità sia stata sfruttata attivamente da qualche malintenzionato fino ad ora.
A Qian Chen del Codesafe Team di Legendsec presso Qi’anxin Group è stato attribuito il merito di aver scoperto e segnalato la vulnerabilità.
Questo è un problema nuovo, ma i telefoni VoIP Cisco non sono nuovi ad alcune problematiche
Resta comunque da segnalare che i telefoni VoIP non sono comunque stati immuni negli anni ad alcune tipologie di problematiche.
Nel 2018 ad esempio ne sono state segnalate alcune, sebbene poi corrette:
- Iniezione arbitraria di script;
- Codice facilmente decifrabile;
- Varie funzionalità di debug non documentate;
- Vari componenti obsoleti con vulnerabilità già note.
E si potrebbe andare avanti per molto. Questo è il motivo per il quale solitamente questi dispositivi funzionano più su reti interne (intranet) che esterne.
Sfortunatamente un dispositivo sicuro al 100% non esiste, nemmeno dispositivi della CISCO che sono certamente tra i più sicuri al mondo. Un saggio un giorno disse: “l’unico computer sicuro è un computer spento, e nemmeno di questo sono sicuro“.
