10月7日,思科发布了安全更新,修复了Cisco ATA190系列模拟电话适配器软件中发现的多个漏洞。以下是漏洞详情:
1.CVE-2021-34710 CVSS评分:8.8 严重程度: 高
Cisco ATA 190 系列多平台软件的 Web UI 中存在一个漏洞,该漏洞可能允许经过身份验证的远程攻击者执行命令注入攻击,从而导致远程代码执行。
此漏洞是由于输入验证不足造成的。攻击者可以通过向受影响设备的 Web UI 发送精心设计的请求来利用此漏洞。成功的利用可能允许攻击者注入将在具有Root权限的底层操作系统上执行的命令。
2.CVE-2021-34735 CVSS评分:8.6 严重程度: 高
Cisco ATA 190 系列内部部署软件和 ATA 190 系列多平台软件的 ICMP 数据包处理中存在一个漏洞,该漏洞可能允许未经身份验证的远程攻击者导致以太网 IP 接口无法访问,从而导致拒绝服务 (DoS) 状况。
此漏洞是由于以太网接口上的 ICMP 数据包缺乏适当的速率限制。攻击者可以通过向目标设备的 IP 地址发送精心设计的稳定 ICMP 流量流来利用此漏洞。成功的利用可能允许攻击者使以太网端口脱机,从而导致 DoS 条件。用户可以观察到 ATA 设备上的 PRT LED 变红,ATA 在 Web 管理界面上变得无响应,并且以太网端口不再具有 IP 地址关联。这将需要手动重启以恢复设备。
受影响产品
如果以下思科产品运行易受攻击的 Cisco ATA 190 系列本地软件或 Cisco ATA 190 系列多平台 (MPP) 软件版本,这些漏洞会影响这些产品:
ATA 190 (On-pReMises only)
ATA 191 (On-pReMises oR MultIPlatfoRM)
ATA 192 (MultIPlatfoRM only)
解决方案
思科已发布免费软件更新,以解决此通报中描述的漏洞。
ATA 190 Analog Telephone AdapteR生命周期已终止,并终止销售,需要升级至可修复版本
ATA 191 Analog Telephone AdapteR升级至12.0(1)SR4可修复
ATA 191 MultIPlatfoRM Analog Telephone AdapteR升级至11.2.1可修复
ATA 192 MultIPlatfoRM Analog Telephone AdapteR升级至11.2.1可修复
