Cisco memperingatkan adanya beberapa zero-day eksekusi kode jarak jauh kritis dalam antarmuka manajemen berbasis web pada telepon IP seri Small Business SPA 300 dan SPA 500 yang sudah habis masa pakainya.
Vendor belum menyediakan perbaikan untuk perangkat ini dan tidak membagikan kiat mitigasi, jadi pengguna produk tersebut harus beralih ke model baru yang didukung secara aktif sesegera mungkin.
Detail kerentanan
Cisco telah mengungkapkan lima kelemahan, tiga dinilai kritis (skor CVSS v3.1: 9,8) dan dua dikategorikan sebagai tingkat keparahan tinggi (skor CVSS v3.1: 7,5).
Kerentanan kritis dilacak sebagai CVE-2024-20450, CVE-2024-20452, dan CVE-2024-20454.
Kerentanan buffer overflow ini memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk mengeksekusi perintah sembarangan pada OS yang mendasarinya dengan hak istimewa root dengan mengirimkan permintaan HTTP yang dibuat khusus ke perangkat target.
“Eksploitasi yang berhasil dapat memungkinkan penyerang untuk melampaui buffer internal dan menjalankan perintah sewenang-wenang pada tingkat hak akses root,” memperingatkan Cisco dalam buletinnya.
Dua kelemahan dengan tingkat keparahan tinggi adalah CVE-2024-20451 dan CVE-2024-20453. Kedua kelemahan ini disebabkan oleh pemeriksaan yang tidak memadai pada paket HTTP, yang memungkinkan paket berbahaya menyebabkan penolakan layanan pada perangkat yang terpengaruh.
Cisco mencatat bahwa kelima kelemahan tersebut memengaruhi semua rilis perangkat lunak yang berjalan pada telepon IP SPA 300 dan SPA 500 tanpa memandang konfigurasinya dan bersifat independen satu sama lain, artinya kelemahan tersebut dapat dieksploitasi secara individual.
Akhir dukungan
Menurut Portal dukungan CiscoSPA 300 terakhir dijual kepada pelanggan pada Februari 2019 dan mencapai akhir dukungannya tiga tahun kemudian, pada Februari 2022.
Untuk SPA 500, vendor berhenti menjual perangkat keras pada tanggal yang sama saat dukungannya berakhir, pada tanggal 1 Juni 2020.
Perlu dicatat bahwa Cisco masih menanggung SPA 500 hingga 31 Mei 2025 untuk pemegang kontrak layanan atau ketentuan garansi khusus, tetapi SPA 300 tidak ditanggung sejak 29 Februari 2024.
Keduanya tidak akan mendapatkan pembaruan keamanan, jadi pengguna disarankan untuk beralih ke model baru yang didukung, seperti Cisco IP Phone 8841 atau model dari seri Cisco 6800.
Cisco juga menawarkan Program Migrasi Teknologi (TMP), yang memungkinkan pelanggan untuk memperdagangkan produk yang memenuhi syarat dan menerima kredit untuk peralatan baru.
Mereka yang tidak yakin tentang pilihannya disarankan untuk menghubungi Pusat Bantuan Teknis (TAC) Cisco.
