CVE-2022-20968 is een nieuwe, zeer ernstige beveiligingskwetsbaarheid in Cisco IP Phone 7800 en 8800 Serie firmware.
CVE-2022-20968 in detail
De kwetsbaarheid CVE-2022-20968 kan worden misbruikt door niet-geverifieerde bedreigingsactoren in uitvoering van externe code en denial-of-service-aanvallen. De fout wordt veroorzaakt door een geval van onvoldoende invoervalidatie van het ontvangen Cisco Discovery Protocol (CDP) pakketten. CDP is een eigen netwerkonafhankelijk protocol dat informatie verzamelt van direct aangesloten apparaten in de buurt, inclusief hardware, software, en apparaatnaam. Het is ook opmerkelijk dat CDP standaard is ingeschakeld.
Volgens de officiële Cisco adviserende, een aanvaller kan dit beveiligingslek misbruiken door vervaardigd Cisco Discovery Protocol-verkeer naar een getroffen apparaat te sturen. Een succesvolle exploit kan de aanvaller in staat stellen een stackoverflow te veroorzaken, resulterend in mogelijke externe code-uitvoering of een denial of service (DoS) staat op een getroffen apparaat.
Cisco zal software-updates uitbrengen die dit beveiligingslek verhelpen. Er zijn geen tijdelijke oplossingen die dit beveiligingslek verhelpen.
Zijn er tijdelijke oplossingen beschikbaar voor CVE-2022-20968?
Er zijn geen bekende tijdelijke oplossingen gedeeld die de fout verhelpen.
Echter, een beperking voor implementaties die zowel Cisco Discovery Protocol als Link Layer Discovery Protocol ondersteunen (LLDP) voor burendetectie is beschikbaar. Eerste, beheerders moeten Cisco Discovery Protocol uitschakelen op kwetsbare IP-telefoons 7800 en 8800 Serie apparaten.
“Apparaten zullen dan LLDP gebruiken voor het ontdekken van configuratiegegevens zoals spraak-VLAN, machtsonderhandeling, enzovoort. Dit is geen triviale verandering en vereist zorgvuldigheid namens de onderneming om de mogelijke impact op apparaten te evalueren, evenals de beste aanpak om deze verandering in hun onderneming te implementeren,” het advies toegevoegd.
Het bedrijf zei ook dat deze beperking moet worden getest in de eigen omgeving en omstandigheden van de klant, omdat dit een negatieve invloed kan hebben op de functionaliteit of prestaties van hun netwerk.
“Klanten moeten geen tijdelijke oplossingen of maatregelen implementeren voordat ze eerst de toepasbaarheid op hun eigen omgeving en de eventuele impact op een dergelijke omgeving hebben geëvalueerd,', legt het bedrijf uit. Gratis software-updates voor CVE-2022-20968 worden binnenkort uitgebracht.