Noticias Manténgase informado sobre las más recientes actualizaciones de productos y noticias de tecnología empresarial.

Teléfonos IP de Cisco vulnerables a espionaje; aún no hay parche

Cisco advirtió de una vulnerabilidad en sus teléfonos IP para PyMEs que podría permitir intercepciones. Aún no hay disponible parche.

Cisco ha confirmado una vulnerabilidad (CVE-2015-0670) en el firmware de los teléfonos IP de las series Cisco Small Business SPA 300 y 500. Se conoce que la vulnerabilidad afecta a la versión 7.5.5 de los teléfonos, pero también podría afectar a las versiones posteriores.

Según el aviso, la vulnerabilidad se debe a configuraciones de autenticación incorrectas en la configuración por defecto, y podría ser potencialmente explotada mediante el envío de una petición XML especialmente diseñada al dispositivo afectado.

Si tal explotación tuviera éxito, el atacante podría escuchar el audio de una llamada, iniciar llamadas de teléfono de forma remota o realizar nuevos ataques.

Cisco restó importancia a la vulnerabilidad, diciendo que es poco probable que sea explotada, y señaló que la probabilidad de que pueda aprovecharse sería mitigada si un atacante también necesitara penetrar en un firewall de una red interna de confianza antes de enviar la solicitud XML.

Cisco aún no ha publicado una actualización de software para los dispositivos afectados y no ha dado un calendario para un lanzamiento. Sin embargo, sí sugieren técnicas de mitigación provisionales, como habilitar autenticación para ejecutar XML en las configuraciones de los dispositivos afectados, y considerar listas de control de acceso (ACL) basadas en IP, que solo permitirían a sistemas fiables conectarse a los dispositivos afectados.

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close