ThaiCERT ไทยเซิร์ต - ระวังภัย พบช่องโหว่ใน Cisco IP Phone รุ่น 7800 และ 8800 อาจถูกแฮกประมวลผลคำสั่งอันตรายได้จากระยะไกล
Clear
Lead Graphic Papers

ระวังภัย พบช่องโหว่ใน Cisco IP Phone รุ่น 7800 และ 8800 อาจถูกแฮกประมวลผลคำสั่งอันตรายได้จากระยะไกล

วันที่ประกาศ: 29 มีนาคม 2562
ปรับปรุงล่าสุด: 29 มีนาคม 2562
เรื่อง: ระวังภัย พบช่องโหว่ใน Cisco IP Phone รุ่น 7800 และ 8800 อาจถูกแฮกประมวลผลคำสั่งอันตรายได้จากระยะไกล

ประเภทภัยคุกคาม: Intrusion

Share on Facebook Share on Twitter Share on Google+

ข้อมูลทั่วไป

Cisco IP Phone เป็นโทรศัพท์แบบ VoIP ที่นิยมใช้ในสำนักงาน หน่วยงานของรัฐ โรงพยาบาล ห้องประชุม หรือสถานที่อื่นๆ โทรศัพท์เหล่านี้สามารถเชื่อมต่อกับระบบเครือข่ายได้ผ่านสาย LAN หรือ Wi-Fi (เฉพาะรุ่นที่รองรับ) ผู้ดูแลระบบสามารถบริหารจัดการโทรศัพท์ เช่น ตั้งค่าการทำงาน กำหนดหมายเลขโทรศัพท์ หรือกำหนดผู้ใช้โทรศัพท์ได้ผ่านซอฟต์แวร์ Session Initiation Protocol (SIP) ที่เข้าถึงได้ผ่านเว็บไซต์

นักวิจัยด้านความมั่นคงปลอดภัยจากบริษัท DarkMatter รายงานช่องโหว่ใน Cisco IP Phone รุ่น 7800 และ 8800 ซึ่งเป็นรุ่นที่ได้รับความนิยมสูง โดยพบว่าระบบเว็บไซต์สำหรับใช้บริหารจัดการโทรศัพท์นั้นมีช่องโหว่ให้ผู้ไม่หวังดีสามารถส่งคำสั่งไปประมวลผลในโทรศัพท์ได้โดยไม่จำเป็นต้องล็อกอิน ซึ่งอาจส่งผลให้ระบบหยุดทำงานหรืออาจถูกใช้เพื่อประมวลผลคำสั่งอันตรายอื่นๆ ได้ [1] ช่องโหว่นี้มีรหัส CVE-2019-1716 และมี CVSS 7.5 [2] ตัวอย่างโทรศัพท์ Cisco IP Phone รุ่นที่ได้รับผลกระทบและมีโค้ดสำหรับโจมตีช่องโหว่เผยแพร่สู่สาธารณะ แสดงในรูปที่ 1

รูปที่ 1 ตัวอย่าง Cisco IP Phone รุ่นที่มีช่องโหว่ [3]

ผลกระทบ

ผู้ประสงค์ร้ายที่อยู่ในระบบเครือข่ายเดียวกับที่ Cisco IP Phone รุ่นที่มีช่องโหว่เชื่อมต่ออยู่ สามารถหยุดการทำงานของโทรศัพท์ หรือทำให้โทรศัพท์ประมวลผลคำสั่งที่อาจเป็นอันตรายได้ (ยังไม่มีข้อมูลว่าสามารถใช้ช่องโหว่นี้โจมตีเพื่อละเมิดความเป็นส่วนตัว เช่น ดักฟังโทรศัพท์ ได้หรือไม่)

อย่างไรก็ตาม เนื่องจากระบบบริหารจัดการโทรศัพท์ผ่านหน้าเว็บนั้นไม่ได้ถูกเปิดใช้งานมาเป็นค่าเริ่มต้น ทำให้โอกาสโจมตีสำเร็จยังทำได้จำกัด

ระบบที่ได้รับผลกระทบ

Cisco IP Phone รุ่น 7800 และ 8800

ข้อแนะนำในการป้องกันและแก้ไข

เมื่อวันที่ 20 มีนาคม 2562 บริษัท Cisco ได้ออกเฟิร์มแวร์เวอร์ชันปรับปรุงแก้ไขปัญหาช่องโหว่นี้แล้ว รวมถึงแก้ไขช่องโหว่อื่นๆ อีก 4 จุดด้วย (ซึ่งทั้งหมดเป็นช่องโหว่ที่อยู่ในระบบบริหารจัดการผ่านเว็บไซต์) [4] รายการเวอร์ชันของเฟิร์มแวร์ที่ได้รับการแก้ไขปัญหาแล้วคือ

  • Cisco Wireless IP Phone 8821, 8821-EX เวอร์ชัน 11.0(5), 11.0(4)SR3 (สำหรับช่องโหว่ Remote Code Execution)
  • Cisco IP Conference Phone 8832 เวอร์ชัน 12.5(1)SR1
  • Cisco Unified IP Conference Phone 8831 เวอร์ชัน 10.3(1)SR5
  • Cisco IP Phone 8800 Series เวอร์ชัน 12.5(1)SR1
  • Cisco IP Phone 7700 Series เวอร์ชัน 12.5(1)SR1

(หมายเหตุ: เฟิร์มแวร์เวอร์ชัน 11.0(5) ยังไม่ได้ถูกเผยแพร่อย่างเป็นทางการ)

รายละเอียดช่องโหว่ วิธีการอัปเดต และซอฟต์แวร์สำหรับแก้ไขปัญหา สามารถดาวน์โหลดได้จากเว็บไซต์ของ Cisco [5]

อ้างอิง

  1. https://www.darkmatter.ae/blogs/cisco-ip-phone-7800-series-and-8800-series-remote-code-execution-vulnerability-cve-2019-1716/
  2. https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20190320-ip-phone-rce
  3. https://www.cisco.com/c/en/us/products/collaboration-endpoints/unified-ip-phone-7821/index.html
  4. https://www.us-cert.gov/ncas/current-activity/2019/03/20/Cisco-Releases-Security-Advisories-Multiple-Products
  5. https://www.cisco.com/c/en/us/support/docs/smb/collaboration-endpoints/cisco-ip-phone-7800-series/smb5431-upgrade-the-firmware-on-the-cisco-ip-phone-7800-and-8800-mul.html
Clear