• +54 (011) 4323-9362
  • |
  • de Lun a Vie de 9 a 17 hs
  • |
  • ciberseguridad@ba-csirt.gob.ar

############################
|A|L|E|R|T|A|S| |B|A|-|C|S|I|R|T|
############################

Múltiples vulnerabilidades en teléfonos IP de Cisco

25/03/2019

=============================================
CVE-2019-1764, CVE-2019-1716, CVE-2019-1763, CVE-2019-1766 y CVE-2019-1765
Fecha de lanzamiento: 21/03/2019
Gravedad: Alta
=============================================

VULNERABILIDAD

Cisco ha detectado 5 vulnerabilidades de criticidad alta que afectan a varios de sus teléfonos IP.

INFORMACIÓN

Cisco Systems es una empresa global principalmente dedicada a la fabricación, venta, mantenimiento y consultoría de equipos de telecomunicaciones:

- Dispositivos de conexión para redes informáticas: routers (enrutadores, encaminadores o ruteadores), switches (conmutadores) y hubs (concentradores).
- Dispositivos de seguridad como cortafuegos y concentradores para VPN.
- Productos de telefonía IP como teléfonos y el CallManager (una PBX IP).
- Software de gestión de red como Cisco Prime.
- Equipos para redes de área de almacenamiento.

DESCRIPCIÓN

Las vulnerabilidades encontradas podrían permitir a un atacante remoto sin autenticación realizar:

- Modificación no autorizada de archivos.
- Generar una condición de denegación de servicio (DoS).
- Eludir comprobaciones de autenticación.
- Acceder a servicios críticos.
- Ejecución arbitraria de código.
- Obtención de privilegios.

SISTEMAS AFECTADOS

Teléfonos IP de Cisco que ejecuten el software SIP en las versiones anteriores a las siguientes:

- 10.3(1)SR5 para Unified IP Conference Phone 8831
- 11.0(4)SR3 y 11.0(5) para Wireless IP Phone 8821 y 8821-EX
- 12.5(1)SR1 para IP Conference Phone 8832, las series IP Phone 8800 e IP Phone 7800

SOLUCIÓN

Cisco ha puesto a disposición de sus usuarios una serie de actualizaciones que mitigan las vulnerabilidades en función de la versión y producto afectado. Puede descargarse la actualización desde el centro de software de Cisco.

FUENTE

https://www.incibe-cert.es/