Cisco Systemsはこのほど、「Cisco Small Business SPA300 Series and SPA500 Series IP Phones Web UI Vulnerabilities」において、複数のIP Phoneに緊急の脆弱性が存在すると報じた。これら脆弱性を悪用されると、認証されていないリモートの攻撃者に管理者権限で任意のコマンドを実行される可能性がある。
-
Cisco Small Business SPA300 Series and SPA500 Series IP Phones Web UI Vulnerabilities
脆弱性の情報
脆弱性の情報(CVE)は次のとおり。
- CVE-2024-20450、CVE-2024-20452、CVE-2024-20454 - SPA300およびSPA500シリーズIP PhoneのWeb管理UIにバッファーオーバーフローの脆弱性。認証されていないリモートの攻撃者は、管理者権限で任意のコマンドを実行できる可能性がある
- CVE-2024-20451、CVE-2024-20453 - SPA300およびSPA500シリーズIP PhoneのWeb管理UIに不適切なエラーチェックの脆弱性。認証されていないリモートの攻撃者は、サービス運用妨害(DoS: Denial of Service)を実行できる
脆弱性が存在する製品
脆弱性が存在するとされる製品およびバージョンは次のとおり。
- Cisco Small Business SPA300 シリーズ IP Phoneのすべてのバージョン
- Cisco Small Business SPA500 シリーズ IP Phoneのすべてのバージョン
対策
当該製品はサポート終了(EOL: End-of-Life)となっており、今後ソフトウェアアップデートが提供されることはない。また、これら脆弱性に対処する回避策も提供されない。そのため、当該製品を利用しているユーザーには、新しい製品への交換が推奨されている。
新しい製品の選択については、「Security Advisories」から入手できる製品アドバイザリーを参照して判断することが推奨されている。判断が難しい場合は、Cisco Technical Assistance Center(TAC)または契約中の正規代理店に問い合わせることが望まれている。
