Technologie
Cisco » />
Cisco a récemment alerté sur plusieurs vulnérabilités critiques de type exécution de code à distance dans l’interface de gestion web des téléphones IP de la série Small Business SPA 300 et SPA 500, qui sont désormais en fin de vie.
L’entreprise n’a pas fourni de correctifs pour ces appareils et n’a pas partagé de conseils de mitigation, ce qui oblige les utilisateurs de ces modèles à envisager une migration vers des appareils plus récents et activement pris en charge dans les plus brefs délais.
Détails des vulnérabilités technologiques
Cisco a identifié cinq failles, dont trois sont classées comme critiques (score CVSS v3.1 : 9.8) et deux comme de haute gravité (score CVSS v3.1 : 7.5).
Les vulnérabilités critiques sont référencées sous les identifiants CVE-2024-20450, CVE-2024-20452 et CVE-2024-20454. Ces failles de débordement de tampon permettent à un attaquant distant non authentifié d’exécuter des commandes arbitraires sur le système d’exploitation sous-jacent avec des privilèges root en envoyant une requête HTTP spécialement conçue à l’appareil ciblé.
Cisco avertit dans son bulletin : « Une exploitation réussie pourrait permettre à l’attaquant de provoquer un débordement d’un tampon interne et d’exécuter des commandes arbitraires avec des privilèges élevés. »
Les deux failles de haute gravité, CVE-2024-20451 et CVE-2024-20453, résultent de contrôles insuffisants sur les paquets HTTP, permettant à des paquets malveillants de provoquer un déni de service sur l’appareil affecté.
Cisco précise que ces cinq vulnérabilités touchent toutes les versions logicielles des téléphones IP SPA 300 et SPA 500, indépendamment de leur configuration, et qu’elles peuvent être exploitées individuellement.
Fin de support
D’après le portail de support de Cisco, le modèle SPA 300 a été vendu pour la dernière fois en février 2019 et a atteint sa fin de support trois ans plus tard, en février 2022.
Pour le modèle SPA 500, la vente du matériel a cessé à la même date que sa fin de support, soit le 1er juin 2020.
Il est important de noter que Cisco continuera de couvrir le SPA 500 jusqu’au 31 mai 2025 pour les détenteurs de contrats de service ou de garanties spéciales, tandis que le SPA 300 n’est plus couvert depuis le 29 février 2024.
Aucun des deux modèles ne recevra de mise à jour de sécurité, il est donc fortement recommandé aux utilisateurs de passer à des modèles plus récents et pris en charge, tels que le Cisco IP Phone 8841 ou un modèle de la série Cisco 6800.
Cisco propose également un programme de migration technologique (TMP), permettant aux clients d’échanger des produits éligibles et de recevoir un crédit pour l’achat de nouveaux équipements.
Pour ceux qui ne sont pas sûrs de leurs options, il est conseillé de contacter le Centre d’assistance technique de Cisco (TAC).
