CISCO lanzó, el miércoles 1 de marzo del 2023, actualizaciones de seguridad para abordar las vulnerabilidades CVE-2023-20078 y CVE-2023-20079, ambas catalogadas como críticas con puntuación CVSS de 9.8, se encuentran en la interfaz de usuario web de varios modelos IP Phone.
Las vulnerabilidades son independientes entre sí, es decir, que no se requiere la explotación de una de ellas para explotar la otra, también es posible que una versión de software que se vea afectada por una vulnerabilidad no sea afectada por la otra.
Ambas vulnerabilidades se deben a una validación insuficiente de la entrada proporcionada por el usuario. Un atacante podría explotar estas vulnerabilidades enviando una solicitud manipulada a la interfaz de administración basada en web.
Vulnerabilidad CVE-2023-20078
Se describe como un error de inyección de comandos en la interfaz de administración basada en la web, la cual podría permitir que un atacante remoto no autenticado inyecte comandos arbitrarios que se ejecutan con privilegios de root.
Productos afectados por CVE-2023-20078
Esta vulnerabilidad afecta a los siguientes productos de Cisco si ejecutan una versión vulnerable del firmware multiplataforma de Cisco:
- IP Phone Serie 6800 con Firmware Multiplataforma
- IP Phone Serie 7800 con Firmware Multiplataforma
- IP Phone Serie 8800 con Firmware Multiplataforma
Vulnerabilidad CVE-2023-20079
Una vulnerabilidad en la interfaz de administración basada en la web que podría permitir a un atacante remoto no autenticado hacer que un dispositivo afectado se vuelva a cargar, lo que resulta en una condición de denegación de servicio (DoS).
Productos afectados por CVE-2023-20079
Esta vulnerabilidad afecta a los siguientes productos de Cisco si ejecutan una versión vulnerable de Cisco Multiplatform Firmware o Cisco Unified Software:
- IP Phone Serie 6800 con Firmware Multiplataforma
- IP Phone Serie 7800 con Firmware Multiplataforma
- IP Phone Serie 8800 con Firmware Multiplataforma
- Unified IP Conference Phone 8831
- Unified IP Conference Phone 8831 con firmware multiplataforma
- Unified IP Phone serie 7900
En la siguiente tabla, la columna de la izquierda enumera las versiones de software de Cisco para los Teléfono IP serie 6800, 7800 y 8800.
| Versión de firmware multiplataforma de Cisco | Versión corregida para CVE-2023-20078 | Versión corregida para CVE-2023-20079 |
| Anterior a 11.3.7SR1 | 11.3.7SR1 | Migrar a una versión corregida. |
| 12.0.1 | No afectado. | No afectado. |
Para los modelos Unified IP, la compañía dijo que no planea corregir la vulnerabilidad CVE-2023-20079, ya que ambos modelos han llegado al final de su vida útil.
La compañía dijo que no tiene conocimiento de ningún intento de explotación malicioso dirigido a la falla. Además, mencionan que las fallas se descubrieron durante las pruebas de seguridad internas.
Recomendaciones
- Se recomienda a los clientes que utilicen estos dispositivos que actualicen a la versión de software corregida adecuada.
Referencias