idNSA.id - Cisco pada hari Rabu meluncurkan pembaruan keamanan untuk
mengatasi bug yang berdampak pada produk IP Phone 6800, 7800, 7900, dan 8800
Series-nya.
Kerentanan, yang dilacak sebagai CVE-2023-20078, memiliki
peringkat 9,8/10 dari sistem peringkat CVSS dan digambarkan sebagai kegagalan injeksi
perintah ke antarmuka manajemen berbasis web karena validasi input yang
diberikan pengguna tidak memadai.
Eksploitasi bug yang berhasil dapat memungkinkan penyerang
jarak jauh yang tidak diautentikasi untuk mengeksekusi perintah sewenang-wenang
yang dijalankan dengan hak istimewa yang lebih tinggi pada sistem operasi yang
mendasarinya.
"Penyerang dapat mengeksploitasi kerentanan ini dengan
mengirimkan permintaan yang dibuat ke antarmuka manajemen berbasis web,"
kata Cisco dalam peringatan yang diterbitkan pada 1 Maret 2023.
Juga ditambal oleh perusahaan tersebut adalah high-severity
denial-of-service (DoS) tingkat keparahan tinggi yang memengaruhi set perangkat
yang sama, serta Cisco Unified IP Conference Phone 8831 dan Unified IP Phone
7900 Series.
CVE-2023-20079 (skor CVSS: 7.5), juga merupakan hasil dari
validasi yang tidak memadai dari input yang disediakan pengguna dalam antarmuka
manajemen berbasis web, dapat disalahgunakan oleh musuh untuk menyebabkan
kondisi DoS.
Sementara Cisco telah merilis Cisco Multiplatform Firmware
versi 11.3.7SR1 untuk menyelesaikan CVE-2023-20078, perusahaan mengatakan tidak
berencana untuk memperbaiki CVE-2023-20079, karena kedua model Unified IP
Conference Phone telah memasuki akhir masa pakai (EoL).
Perusahaan mengatakan tidak mengetahui adanya upaya
eksploitasi jahat yang menargetkan cacat tersebut. Ia juga mengatakan
kekurangan itu ditemukan selama pengujian keamanan internal.
