思科坦言其針對(duì)中小企業(yè)的IP電話(huà)易被竊聽(tīng)
思科稱(chēng)在其一些針對(duì)中小企業(yè)的IP電話(huà)中存在漏洞,這可能導(dǎo)致用戶(hù)被竊聽(tīng)。目前思科還沒(méi)有發(fā)布修復(fù)程序,但提供了緩解技術(shù)。
在思科兩套不同的IP電話(huà)中發(fā)現(xiàn)存在漏洞,該供應(yīng)商稱(chēng)這個(gè)漏洞可能允許攻擊者遠(yuǎn)程竊聽(tīng)電話(huà)通話(huà)。
思科已經(jīng)證實(shí)在其Small Business SPA 300和500系列IP電話(huà)的固件中存在漏洞(CVE-2015-0670),這個(gè)漏洞影響著7.5.5版本手機(jī),但也可能會(huì)影響以后的版本。
根據(jù)思科公告顯示,該漏洞的出現(xiàn)是由于默認(rèn)配置中不當(dāng)?shù)纳矸蒡?yàn)證設(shè)置,并可能通過(guò)發(fā)送特制的XML請(qǐng)求到受影響設(shè)備而被利用。
如果這種漏洞利用成功了,攻擊者可以竊聽(tīng)通話(huà),遠(yuǎn)程啟動(dòng)電話(huà),或執(zhí)行進(jìn)一步攻擊。
然而,思科淡化了這個(gè)漏洞,稱(chēng)它不太可能被利用,并指出這種成功的漏洞利用可能被緩解,因?yàn)樵诎l(fā)送特制XML請(qǐng)求之前,攻擊者還需要攻入可信內(nèi)部網(wǎng)絡(luò)的防火墻。
思科還沒(méi)有向受影響設(shè)備發(fā)布軟件更新,也沒(méi)有給出時(shí)間表。但思科建議部署暫時(shí)緩解技術(shù),例如禁用受影響設(shè)備的設(shè)置中的XML執(zhí)行身份驗(yàn)證,并考慮使用基于IP的訪(fǎng)問(wèn)控制列表(ACL),該列表只會(huì)允許可信系統(tǒng)連接到受影響設(shè)備。
