Ciberseguridad 360 | Cisco advierte de la existencia de zero-days RCE críticos en teléfonos IP al final de su vida útil

Cisco advierte de la existencia de varios zero-days cr�ticos de ejecuci�n remota de c�digo en la interfaz de gesti�n basada en web de los tel�fonos IP de las series Small Business SPA 300 y SPA 500 que han llegado al final de su vida �til.

El proveedor no ha puesto a disposici�n soluciones para estos dispositivos y no ha compartido consejos de mitigaci�n, por lo que los usuarios de estos productos tendr�n que cambiar a modelos m�s nuevos y soportados activamente tan pronto como sea posible.

Detalles de la vulnerabilidad

Cisco ha revelado cinco fallos, tres calificados como cr�ticos (puntuaci�n CVSS v3.1: 9,8) y dos categorizados como de alta gravedad (puntuaci�n CVSS v3.1: 7,5).

Las vulnerabilidades cr�ticas se rastrean como CVE-2024-20450, CVE-2024-20452 y CVE-2024-20454.

Estas vulnerabilidades de desbordamiento del b�fer permiten a un atacante remoto no autenticado ejecutar comandos arbitrarios en el sistema operativo subyacente con privilegios de root mediante el env�o de una solicitud HTTP especialmente dise�ada al dispositivo de destino.

"Un exploit exitoso podr�a permitir al atacante desbordar un buffer interno y ejecutar comandos arbitrarios a nivel de privilegios de root", advierte Cisco en el bolet�n.

Los dos fallos de alta gravedad son CVE-2024-20451 y CVE-2024-20453. Est�n causados por comprobaciones inadecuadas de los paquetes HTTP, que permiten que paquetes maliciosos provoquen una denegaci�n de servicio en el dispositivo afectado.

Cisco se�ala que los cinco fallos afectan a todas las versiones de software que se ejecutan en los tel�fonos IP SPA 300 y SPA 500, independientemente de su configuraci�n, y son independientes entre s�, lo que significa que pueden explotarse individualmente.

Fin del soporte

Seg�n el portal de soporte de Cisco, SPA 300 se vendi� por �ltima vez a los clientes en febrero de 2019 y alcanz� su fin de soporte tres a�os despu�s, en febrero de 2022.

En el caso de SPA 500, el proveedor dej� de vender el hardware en la misma fecha en que lleg� al final de su soporte, el 1 de junio de 2020.

Cabe se�alar que Cisco sigue cubriendo SPA 500 hasta el 31 de mayo de 2025 para los titulares de contratos de servicio o condiciones especiales de garant�a, pero SPA 300 no est� cubierto desde el 29 de febrero de 2024.

Ninguno de ellos recibir� una actualizaci�n de seguridad, por lo que se aconseja a los usuarios que cambien a modelos m�s nuevos y compatibles, como el tel�fono IP 8841 de Cisco o un modelo de la serie 6800 de Cisco.

Cisco tambi�n ofrece un Programa de Migraci�n Tecnol�gica (TMP), que permite a los clientes cambiar los productos elegibles y recibir cr�dito para un nuevo equipo.

Fuente: bleepingcomputer