CVE-2022-20968 é uma nova vulnerabilidade de segurança de alta gravidade no Cisco IP Phone 7800 e 8800 Firmware da série.
CVE-2022-20968 em detalhe
A vulnerabilidade CVE-2022-20968 pode ser explorada por agentes de ameaças não autenticados em execução remota de código e ataques de negação de serviço. A falha é acionada por um caso de validação de entrada insuficiente do Cisco Discovery Protocol recebido (CDP) pacotes. O CDP é um protocolo independente de rede proprietário que coleta informações de dispositivos conectados diretamente nas proximidades, incluindo hardware, Programas, e nome do dispositivo. Também é digno de nota que o CDP é ativado por padrão.
De acordo com o conselho oficial da Cisco, um invasor pode explorar essa vulnerabilidade enviando tráfego do Cisco Discovery Protocol criado para um dispositivo afetado. Uma exploração bem-sucedida pode permitir que o invasor cause um estouro de pilha, resultando em possível execução remota de código ou negação de serviço (DoS) condição em um dispositivo afectado.
A Cisco lançará atualizações de software que abordam essa vulnerabilidade. Não há soluções alternativas que resolvam essa vulnerabilidade.
Existem soluções alternativas disponíveis para CVE-2022-20968?
Nenhuma solução alternativa conhecida foi compartilhada para resolver a falha.
Contudo, uma mitigação para implantações que oferecem suporte ao Cisco Discovery Protocol e ao Link Layer Discovery Protocol (LLDP) para descoberta de vizinhos está disponível. Primeiro, os administradores devem desabilitar o Cisco Discovery Protocol no telefone IP vulnerável 7800 e 8800 Dispositivos de série.
“Os dispositivos usarão o LLDP para descobrir dados de configuração, como VLAN de voz, negociação de poder, e assim por diante. Esta não é uma mudança trivial e exigirá diligência em nome da empresa para avaliar qualquer impacto potencial nos dispositivos, bem como a melhor abordagem para implantar essa mudança em sua empresa,” a assessoria acrescentou.
A empresa também disse que essa mitigação precisa ser testada no próprio ambiente e nas condições dos clientes, uma vez que pode impactar negativamente a funcionalidade ou o desempenho de sua rede.
“Os clientes não devem implantar soluções alternativas ou mitigações antes de avaliar a aplicabilidade ao seu próprio ambiente e qualquer impacto a esse ambiente,” a empresa explicou. Atualizações de software gratuitas que abordam CVE-2022-20968 serão lançadas em breve.