Avaya VoIP电话被90%的财富500强公司所使用。McAfee的安全分析师Philippe Laulhert在Black Hat会议上透露了一个在Avaya VoIP电话中已经潜伏了10年的安全漏洞。
该漏洞被跟踪为CVE-2009-0692。CVE-2009-0692是ISP动态主机配置协议(DHCP)客户端中存在的堆栈溢出缓冲漏洞。该缺陷在CVSS严重等级上得分为10分。Avaya的顾问称,“如果DHCP客户端收到恶意DHCP响应,它可能会崩溃或使用客户端(root)的权限执行任意代码。” 与此同时,McAfee表示,攻击者可以利用此RCE漏洞劫持电话的正常运营并窃取音频。只要与目标电话有网络连接,就可以触发攻击。
漏洞主要影响Avaya 9600系列IP Deskphone,J100系列IP电话和B100系列会议电话(B189)也包含受漏洞影响的软件包。Avaya在2019年6月25日发布的固件更新中解决了该问题,并要求用户将9600系列IP Deskphone,J100系列IP电话和B100系列会议电话升级到版本6.8.2或更高版本以解决此问题。
上文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理