您的位置: 首页 >要闻 >

思科VoIP适配器有严重的安全缺陷

2019-11-19 20:54:24 编辑: 来源:
导读 在家中建立VoIP服务时,TableResearch的安全研究人员从Cisco的SPA 100系列中发现了总共19个VoIP适配器的漏洞。 如果利用这些漏洞,这些漏洞可能会让攻击者窃听用户的对话,发起欺诈电话呼叫,甚至进一步进入其内部网络。 安全研究人员安德鲁·奥尔和亚历克斯·韦伯购买了思科的SPA112和SPA122模拟电话适配器(ATA),它们将座机电话连接到VoIP网络。然而,这两个人开

在家中建立VoIP服务时,TableResearch的安全研究人员从Cisco的SPA 100系列中发现了总共19个VoIP适配器的漏洞。

如果利用这些漏洞,这些漏洞可能会让攻击者窃听用户的对话,发起欺诈电话呼叫,甚至进一步进入其内部网络。

安全研究人员安德鲁·奥尔和亚历克斯·韦伯购买了思科的SPA112和SPA122模拟电话适配器(ATA),它们将座机电话连接到VoIP网络。然而,这两个人开始好奇这些设备的安全性,这些设备有一个很大的攻击面,并开始运行测试,看看他们最近购买的硬件是否存在任何漏洞。

在进一步检查后,他们发现,利用思科设备中发现的缺陷将允许网络犯罪彻底损害适配器的Web界面以及底层操作系统。

根据安全研究人员发布的博客文章,他们发现的缺陷将使攻击者能够窃取凭据,创建具有完全权限的超级用户并执行任意代码。他们还解释了如何在Cisco的VoIP适配器上实现特权升级,并表示:

我们能够接受低特权的“Cisco”用户,泄漏“admin”用户的密码哈希,然后“传递-散列”来提升我们的权限。另外,我们能够使用读取的任意文件来击败ASLR,然后利用堆栈溢出作为root实现代码执行。“

TenableResearch向CiscoPSIRT通报了他们在7个Cisco安全顾问中发现的19个漏洞,此后,该网络巨头已使用SPA100系列设备的新1.4.1SR5固件版本解决了这些缺陷。

通过使用Shoan,安全研究人员能够识别3,662个潜在易受攻击的设备,因此如果您使用CiscoSPA100系列VoIP适配器,强烈建议您在使用这些缺陷之前更新到最新的固件。


标签:
免责声明:本文由用户上传,如有侵权请联系删除!

猜你喜欢

最新文章

精彩推荐

图文推荐

点击排行

2016-2022 All Rights Reserved.平安财经网.复制必究 联系QQ   备案号:

本站除标明“本站原创”外所有信息均转载自互联网 版权归原作者所有。

邮箱:toplearningteam#gmail.com (请将#换成@)