米Ciscoのスモールビジネス向けIP電話に、通話を盗聴される恐れのある脆弱性が発覚した。
Ciscoは3月19日付でセキュリティ情報を公開し、対策を呼び掛けている、
それによると、脆弱性はCiscoSmallBusinessSPA300および500シリーズIP電話の
ファームウェアに存在する。悪用された場合、認証を受けていないリモートの攻撃者が
音声ストリームを盗聴したり、電話をかけたりできてしまう恐れがある。
脆弱性は、デフォルトの認証設定が不適切だったことに起因する。
ただし悪用するためにはファイアウォールごしに社内ネットワークにアクセスして
細工を施したXMLリクエストを標的とするデバイスに送り付ける必要があることから
悪用の可能性はある程度低減されるとしている。
CiscoはSPA300および500のバージョン7.5.5でこの脆弱性を確認し
それ以降のバージョンも影響を受ける可能性があると報告。
修正のためのソフトウェアアップデートは公開せず
影響を受けるデバイスの設定でXMLExecution認証を有効にするなどの対策を紹介している。
以下ソース
http://www.itmedia.co.jp/enterprise/articles/1503/24/news044.html