Alerta de Vulnerabilidade - Cisco IP Phones
Foi descoberta uma vulnerabilidade no interface do utilizador web nos Telefones IP Cisco das séries 6800, 7800 e 8000 com firmware multiplaforma, permitindo que um atacante remoto não autenticado possa fazer injecção de comandos e executar comandos com privilégios idênticos ao do servidor web.
Um atacante consegue explorar esta vulnerabilidade através da inclusão de comandos shell arbitrários num campo de input específico, devido a validação insuficiente desse campo de entrada.
Um atacante remoto consegue explorar esta vulnerabilidade, ficando com controlo total do sistema.
Deve ser instalada a nova versão do firmware 11.2(1).
Cisco:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20180711-phone-webui-inject
US-CERT:
https://www.us-cert.gov/ncas/current-activity/2018/07/11/Cisco-Releases-Security-Updates