CVE-2020-3161

Cisco Cisco IP Phones

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

Cisco IP Phones contain an improper input validation vulnerability for HTTP requests. Exploitation could allow an attacker to execute code remotely with root privileges or cause a denial-of-service (DoS) condition.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в прошивках телефонов Cisco IP Phone позволяет злоумышленнику отправить специально сформированный HTTP-запрос на устройство. Из-за недостаточной проверки входных данных в HTTP-обработчике, это может привести к: * Удаленному выполнению произвольного кода с правами root. * Зависанию или перезагрузке устройства, вызывая отказ в обслуживании (DoS).

Атака возможна без аутентификации, если злоумышленник имеет сетевой доступ к уязвимому телефону.

Как исправить

Установите исправленную версию прошивки для вашей модели телефона. Обновление является единственным полным решением.

  1. Определите модель и текущую версию прошивки. На телефоне нажмите Settings > Status > Product Information или Firmware Information.
  2. Скачайте исправленную версию с официального портала Cisco (software.cisco.com).
  3. Обновите прошивку через web-интерфейс администратора телефона или централизованно (через Cisco Unified Communications Manager).

Исправленные версии для основных серий: * Cisco IP Phone 7800/8800 Series: версия прошивки 12.8(1)SR1 и выше. * Cisco IP Phone 6800/7800/8800 Series (с Multiplatform Firmware): версия 12.8(1) и выше.

Пример обновления через TFTP (если используется):

# На вашем TFTP-сервере (например, Linux)
# 1. Поместите файл новой прошивки (например, SIP88xx.12-8-1-001.cop.sgn) в каталог /tftpboot
# 2. Убедитесь, что телефоны настроены на загрузку с этого сервера.
# Обновление начнется автоматически при следующей перезагрузке телефонов.

Временное решение

Если немедленное обновление невозможно, примените следующие меры:

  1. Ограничьте сетевой доступ.

    • Настройте ACL (Access Control List) на маршрутизаторах и коммутаторах, чтобы разрешить доступ к web-интерфейсам телефонов (HTTP/HTTPS, обычно порты 80, 443, 8080) только с доверенных подсетей (например, VLAN администраторов, сеть управления).
    • Блокируйте все HTTP-запросы к телефонам из внешних сетей (Интернет).

    Пример ACL для Cisco IOS (фрагмент): bash access-list 150 deny tcp any any eq 80 access-list 150 deny tcp any any eq 443 access-list 150 deny tcp any any eq 8080 ! Разрешите доступ только из сети управления 10.10.10.0/24 access-list 150 permit tcp 10.10.10.0 0.0.0.255 any eq 80 access-list 150 permit tcp 10.10.10.0 0.0.0.255 any eq 443 access-list 150 permit ip any any

  2. Отключите неиспользуемые сетевые службы на телефоне.

    • В настройках телефона (Security > Network Settings) отключите HTTP Server, если он не используется для управления. Оставьте включенным только HTTPS Server для безопасного доступа.

  3. Используйте сегментацию сети.

    • Разместите телефоны в отдельной VLAN (Voice VLAN), изолированной от пользовательских и критических серверных VLAN. Это ограничит потенциальный вектор атаки.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей