CVE-2024-20445: IP-телефоны Cisco раскрывают конфиденциальные данные

Всего один звонок, и ваши данные – больше не ваши.

В серии IP-телефонов Cisco обнаружена критическая уязвимость ( CVE-2024-20445 ), которая позволяет удалённым атакующим получить доступ к конфиденциальной информации. Уязвимые модели включают Desk Phone 9800, IP Phone 7800 и 8800, а также Video Phone 8875.

Проблема связана с некорректным хранением данных в веб-интерфейсе устройств, использующих протокол SIP, что приводит к экспозиции чувствительной информации (CWE-200) при включённой функции Web Access. Злоумышленники могут воспользоваться этой уязвимостью, просто зайдя на IP-адрес уязвимого устройства.

При успешной атаке потенциальный доступ может быть получен к информации, такой как записи звонков, что ставит под угрозу конфиденциальность пользователей. Важно отметить, что функция Web Access по умолчанию отключена, что несколько снижает риск. Тем не менее, при её активации уязвимость становится доступной для эксплуатации.

Cisco подтвердила проблему и выпустила обновления для устранения уязвимости. К сожалению, обойти проблему иначе, чем обновлением ПО, невозможно. Все пользователи, у которых включён Web Access, должны либо отключить эту функцию, либо немедленно обновить программное обеспечение.

На момент публикации уязвимость затрагивает модели Cisco Desk Phone 9800, IP Phone 7800 и 8800 (за исключением Wireless IP Phone 8821), а также Video Phone 8875. Для защиты своих данных пользователям рекомендуется проверять, включена ли функция Web Access, и при необходимости отключить её или установить обновления.