思科IP电话出现漏洞 可被远程窃听
作者: 日期:2015年03月24日 阅:2,849

8_副本

思科上周披露,某些专为小企业设计的IP电话存在远程窃听漏洞,并可被攻击利用拨打电话。该漏洞(CVE-2015-0670)影响思科SPA300及SPA500系列IP电话的7.5.5版本,最新版也可能受影响。

按照官方通告,该漏洞由软件中默认配置中不正确的认证设置引起。一个未经认证的远程攻击者可以通过给目标IP电话发送恶意构造的XML请求来利用这个漏洞。

成功利用此漏洞可以窃听设备上的音频流以获得敏感信息,还可以远程使用目标设备拨打电话。但利用这个漏洞需要攻击者访问到受信任的内部网络,因此一定程度上降低了漏洞利用的可能性。

思科官方已经确认此漏洞,但尚未发布更新。因为,思科认为这个中等严重级别的漏洞不大可能被利用。

在更新发布前,建议管理员在受影响的设备设置菜单中开启XML执行认证,并限制网络访问,只允许可信用户。

本月初,思科宣布可在思科的入侵检测、远程监控视频通信服务器,及高速通道等产品中进行安全更新。

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章