思科稱在其一些針對中小企業的ip電話中存在漏洞,這可能導緻使用者被竊聽。目前思科還沒有釋出修複程式,但提供了緩解技術。
在思科兩套不同的ip電話中發現存在漏洞,該供應商稱這個漏洞可能允許攻擊者遠端竊聽電話通話。
思科已經證明在其small business spa 300和500系列ip電話的固件中存在漏洞(cve-2015-0670),這個漏洞影響着7.5.5版本手機,但也可能會影響以後的版本。
根據思科公告顯示,該漏洞的出現是由于預設配置中不當的身份驗證設定,并可能通過發送特制的xml請求到受影響裝置而被利用。
如果這種漏洞利用成功了,攻擊者可以竊聽通話,遠端啟動電話,或執行進一步攻擊。
然而,思科淡化了這個漏洞,稱它不太可能被利用,并指出這種成功的漏洞利用可能被緩解,因為在發送特制xml請求之前,攻擊者還需要攻入可信内部網絡的防火牆。
思科還沒有向受影響裝置釋出軟體更新,也沒有給出時間表。但思科建議部署暫時緩解技術,例如禁用受影響裝置的設定中的xml執行身份驗證,并考慮使用基于ip的通路控制清單(acl),該清單隻會允許可信系統連接配接到受影響裝置。
作者:michael heller
來源:51cto