Cisco IP电话曝高危漏洞可致远程窃听

Cisco小型商业电话的固件曝高危漏洞,攻击者可通过该漏洞监听私人电话以及进行远程拨打电话,而且这一系列恶意行为都不需要任何身份验证。

[[130345]]

远程监听以及拨打电话

该漏洞(CVE-2015-0670)的存在实际上是由于某些Cisco IP电话的默认配置中含有了一些不恰当的设置。它允许攻击者通过向受影响的设备发送特殊的XML请求来控制该设备。

此外,该漏洞可以被黑客利用来进行远程拨打电话,利用收集到的音频信息对目标进行一系列的其他攻击。

受影响的设备

该漏洞影响到Cisco小型商业SPA300以及SPA500 IP电话且运行的固件版本为7.5.5。然而,Cisco发出警告称在7.5.5后的版本也可能会受到该漏洞影响。

有些电话很有可能配置了一些特殊功能,从网上就可直接访问设备。对于黑客来说就能够十分轻松的通过最近十分流行的Shodan搜索引擎找出存在漏洞版本的设备。

“要想利用该漏洞,首先需要获取信任,然后向目标发送特殊的XML请求”Cisco报告中说道

Cisco方面目前已经确认了由澳大利亚技术分析人员Chris Watts发现并报告的漏洞,Watts还发现了另外两个漏洞——Xss漏洞(CVE-2014-3313)以及一枚本地代码执行漏洞(CVE-2014-3312)。

安全建议

目前Cisco公司还未发布任何修复补丁,只是准备在未来的更新固件中修复该问题。但是公司提供了一些建议来降低风险:

1.建议管理员在受影响的设备中启用XML身份验证的配置

2.建议管理员仅仅运行受信任的用户访问网络

3.建议管理员使用可靠的防火墙策略,确保系统免受外部攻击的影响

4.管理员也可以使用基于ip的访问控制列表(ACLs),只允许可信系统访问受影响的设备

5.管理员密切关注这些存在漏洞的设备

文章来源网络,作者:运维,如若转载,请注明出处:https://shuyeidc.com/wp/147882.html<

(0)
运维的头像运维
上一篇2025-03-11 21:43
下一篇 2025-03-11 21:45

相关推荐

  • 彻底搞懂 Nginx 五大应用场景

    一:HTTP服务器 Nginx本身也是一个静态资源的服务器,当只有静态资源的时候,就可以使用Nginx来做服务器,如果一个网站只是静态页面的话,那么就可以通过这种方式来实现部署。 …

  • Nginx 五大常见应用场景

    Nginx是Apache服务不错的替代品。其特点是占有内存少,并发能力强,事实上nginx的并发能力在同类型的网页服务器中表现较好,因此国内知名大厂例如:淘宝,京东,百度,新浪,网…

  • Apache VS Nginx,你选对了吗?

    Apache和Nginx都属于Web服务器,两者都实现了HTTP 1.1协议。无论是选择哪个,都是根据应用场景来决定的,所以些文件仅从应用场景出发,来对比两者之间的各自特点。要让正…

  • Nginx 实践:location 路径匹配

    1. 目标 nginx 反向代理,路径映射的过程是什么?如何配置路径映射规则? 2、location 路径匹配 2.1 匹配规则: location 路径正则匹配:   …

  • Nginx 常用配置汇总!从入门到干活足矣

    众所周知,Nginx 是 Apache服务不错的替代品。其特点是占有内存少,并发能力强,事实上 Nginx 的并发能力在同类型的网页服务器中表现较好,因此国内知名大厂例如:淘宝,京…

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注