Cisco IOS XE 軟體 FXO 介面目的地模式繞過 (cisco-sa-fxo-pattern-bypass-jUXgygYv)

medium Nessus Plugin ID 162015

概要

遠端裝置缺少廠商提供的安全性修補程式

說明

根據其自我報告的版本,Cisco IOS XE 軟體受到一個弱點影響。

Cisco IOS 軟體和 Cisco IOS XE 軟體的語音電話服務提供商 (VTSP) 服務中有一個弱點,可允許未經驗證的遠端攻擊者繞過設定的目的地模式並撥叫任意號碼。
此弱點是軟體對 Foreign Exchange Office (FXO) 介面的撥號字串驗證不足所致。攻擊者可經由 ISDN 協定或 SIP 向受影響的裝置傳送格式錯誤的撥號字串,藉此利用此弱點。若利用得逞,攻擊者即可進行收費詐騙,進而對受影響的客戶造成無法預期的財務影響。

如需詳細資訊,請參閱隨附的 Cisco BID 和 Cisco 安全性公告。

解決方案

升級至 Cisco 錯誤 ID CSCvw53542 中提及的相關修正版本

另請參閱

http://www.nessus.org/u?0e03d31a

http://tools.cisco.com/security/center/viewErp.x?alertId=ERP-74581

https://bst.cloudapps.cisco.com/bugsearch/bug/CSCvw53542

Plugin 詳細資訊

嚴重性: Medium

ID: 162015

檔案名稱: cisco-sa-fxo-pattern-bypass-jUXgygYv-iosxe.nasl

版本: 1.3

類型: combined

系列: CISCO

已發布: 2022/6/10

已更新: 2023/9/28

組態: 啟用 Paranoid 模式

支援的感應器: Nessus

風險資訊

VPR

風險因素: Low

分數: 1.4

CVSS v2

風險因素: Medium

基本分數: 4.3

時間分數: 3.2

媒介: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N

CVSS 評分資料來源: CVE-2021-34705

CVSS v3

風險因素: Medium

基本分數: 5.3

時間分數: 4.6

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: cpe:/o:cisco:ios_xe

必要的 KB 項目: Settings/ParanoidReport, Host/Cisco/IOS-XE/Version

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2021/9/22

弱點發布日期: 2021/9/22

參考資訊

CVE: CVE-2021-34705

CWE: 232

CISCO-SA: cisco-sa-fxo-pattern-bypass-jUXgygYv

IAVA: 2021-A-0441-S

CISCO-BUG-ID: CSCvw53542