Cisco a signalé une vulnérabilité zero-day de haute gravité qui pourrait permettre l'exécution de code à distance et des attaques par déni de service (DoS) sur ses téléphones IP les plus récents.

L'entreprise a prévenu que son équipe de réponse aux incidents de sécurité des produits (PSIRT) est "consciente que le code d'exploitation de la preuve de concept est disponible" et que "la vulnérabilité a été discutée publiquement".

Cependant, la PSIRT de Cisco a déclaré qu'elle n'avait pas encore eu connaissance de tentatives d'utilisation de cette vulnérabilité de sécurité dans des attaques.

Avant la divulgation, Cisco n'a pas publié de mises à jour de sécurité pour corriger cette faille, bien qu'elle affirme qu'un correctif sera mis à disposition en janvier 2023.

Suivie sous le nom de CVE-2022-20968, la faille est causée par une validation d'entrée insuffisante des paquets reçus de Cisco Discovery Protocol, que des attaquants adjacents non authentifiés peuvent exploiter pour déclencher un débordement de pile.

Les téléphones IP Cisco utilisant les versions 14.2 et antérieures du firmware pour les séries 7800 et 8800 font partie des appareils concernés.

Cisco propose des conseils d'atténuation aux administrateurs qui souhaitent protéger les appareils sensibles de leur environnement contre des attaques potentielles, malgré le fait qu'une mise à jour de sécurité pour résoudre CVE-2022-20968 ou une solution ne sont pas encore accessibles.

Sur les appareils IP Phone 7800 et 8800 Series concernés qui prennent également en charge le protocole LLDP (Link Layer Finding Protocol) pour la découverte des voisins, il est nécessaire de désactiver le protocole Cisco Discovery.

Les entreprises devront faire preuve de vigilance pour évaluer les effets potentiels sur les appareils et la manière la plus efficace de mettre en œuvre ce changement dans leur entreprise, car il ne s'agit pas d'un petit changement.

Il est conseillé aux administrateurs de valider l'efficacité et l'applicabilité de cette mesure d'atténuation dans leur environnement avant de la déployer.

Cisco a averti que "les clients ne doivent pas déployer de solutions de contournement ou d'atténuation avant d'avoir évalué l'applicabilité à leur propre environnement et tout impact sur cet environnement".