Уязвимость BDU:2024-00375

Идентификатор: BDU:2024-00375.
Наименование уязвимости: Уязвимость микропрограммного обеспечения телефонов и акустических систем для конференц-связи Poly, позволяющая нарушителю выполнить произвольные команды операционной системы.
Описание уязвимости: Уязвимость микропрограммного обеспечения телефонов и акустических систем для конференц-связи Poly существует из-за непринятия мер по нейтрализации специальных элементов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды операционной системы
Уязвимое ПО: Микропрограммный код Poly Inc. Trio 8300 — | Микропрограммный код Poly Inc. Trio 8500 — | Микропрограммный код Poly Inc. Trio 8800 — | Микропрограммный код Poly Inc. Trio C60 — | Микропрограммный код Poly Inc. CCX 350 — | Микропрограммный код Poly Inc. CCX 400 — | Микропрограммный код Poly Inc. CCX 500 — | Микропрограммный код Poly Inc. CCX 505 — | Микропрограммный код Poly Inc. CCX 600 — | Микропрограммный код Poly Inc. CCX 700 — | Микропрограммный код Poly Inc. EDGE E100 — | Микропрограммный код Poly Inc. EDGE E220 — | Микропрограммный код Poly Inc. EDGE E300 — | Микропрограммный код Poly Inc. EDGE E320 — | Микропрограммный код Poly Inc. EDGE E350 — | Микропрограммный код Poly Inc. EDGE E400 — | Микропрограммный код Poly Inc. EDGE E450 — | Микропрограммный код Poly Inc. EDGE E500 — | Микропрограммный код Poly Inc. EDGE E550 — | Микропрограммный код Poly Inc. VVX 101 — | Микропрограммный код Poly Inc. VVX 150 — | Микропрограммный код Poly Inc. VVX 201 — | Микропрограммный код Poly Inc. VVX 250 — | Микропрограммный код Poly Inc. VVX 300 — | Микропрограммный код Poly Inc. VVX 301 — | Микропрограммный код Poly Inc. VVX 310 — | Микропрограммный код Poly Inc. VVX 311 — | Микропрограммный код Poly Inc. VVX 350 — | Микропрограммный код Poly Inc. VVX 400 — | Микропрограммный код Poly Inc. VVX 401 — | Микропрограммный код Poly Inc. VVX 410 — | Микропрограммный код Poly Inc. VVX 411 — | Микропрограммный код Poly Inc. VVX 450 — | Микропрограммный код Poly Inc. VVX 500 — | Микропрограммный код Poly Inc. VVX 501 — | Микропрограммный код Poly Inc. VVX 600 — | Микропрограммный код Poly Inc. VVX 601 — |
Наименование ОС и тип аппаратной платформы:
Дата выявления: 29.12.2023.
CVSS 2.0: AV:N/AC:L/Au:M/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,3)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,2)
Возможные меры по устранению:
Компенсирующие меры:
— использование средств межсетевого экранирования и средств обнаружения и предотвращения вторжений (IDS/IPS) для отслеживания подключений к устройству;
— ограничение доступа к устройству из внешних сетей (Интернет);
— использование виртуальных частных сетей для организации удаленного доступа (VPN);
— использование антивирусного программного обеспечения для отслеживания средств эксплуатации уязвимости.
Организационные меры:
1. Ограничить использование программного средства
2. Использование аналогичного программного средства.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Информация об устранении отсутствует
Идентификаторы других систем описаний уязвимости: CVE-2023-4464.
Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://fahrplan.events.ccc.de/congress/2023/fahrplan/events/11919.html
https://support.hp.com/us-en/document/ish_9931565-9931594-16/hpsbpy03898
https://vuldb.com/?id.249257
https://github.com/modzero/MZ-23-01-Poly-VoIP-Devices
https://modzero.com/en/advisories/mz-23-01-poly-voip/
https://modzero.com/static/MZ-23-01_modzero_Poly_VoIP_Devices.pdf



