PT-2021-7232 · Cisco · Cisco Unified Communications Manager+1
Andrew Chi
+2
·
Publicado
2021-11-02
·
Atualizado
2022-06-27
·
CVE-2022-20817
CVSS v3.1
7.4
Alta
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Cisco Unified IP Phone (versões afetadas não especificadas)
Descrição
O problema está relacionado a erros no código do gerador de números aleatórios do software dos Cisco Unified IP Phones. Isso poderia permitir que um invasor remoto se passasse pelo telefone de outro usuário. A vulnerabilidade se deve à geração inadequada de chaves durante o processo de fabricação, o que pode resultar na instalação de chaves duplicadas em vários dispositivos. Um invasor poderia explorar isso realizando um ataque man-in-the-middle na comunicação segura entre o telefone e o Cisco Unified Communications Manager (CUCM). Uma exploração bem-sucedida poderia permitir que o invasor se passasse pelo telefone de outro usuário.
Recomendações
Como solução temporária, considere implementar medidas de segurança adicionais no Cisco Unified Communications Manager (CUCM) para minimizar o risco de exploração, como reforçar a segurança da comunicação entre o telefone e o CUCM.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Cisco Unified Communications Manager
Cisco Unified Ip Phone