ГлавнаяБаза уязвимостей БДУ → BDU:2024-00305
6.1средняя

BDU:2024-00305

Уязвимость микропрограммного обеспечения телефонов и акустических систем для конференц-связи Poly, позволяющая нарушителю изменить пароль администратора
Опубликовано: 2024-01-15
Описание

Уязвимость микропрограммного обеспечения телефонов и акустических систем для конференц-связи Poly связана с отсутствием необходимой проверки при изменении пароля. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, изменить пароль администратора

Затрагиваемое ПО и версии
Trio 8300Trio 8500Trio 8800Trio C60CCX 350CCX 400CCX 500CCX 505CCX 600CCX 700EDGE E100EDGE E220EDGE E300EDGE E320EDGE E350EDGE E400EDGE E450EDGE E500EDGE E550VVX 101VVX 150VVX 201VVX 250VVX 300VVX 301VVX 310VVX 311VVX 350VVX 400VVX 401
Способ устранения

Компенсирующие меры:
- использование средств межсетевого экранирования и средств обнаружения и предотвращения вторжений (IDS/IPS) для отслеживания подключений к устройству;
- ограничение доступа к устройству из внешних сетей (Интернет);
- использование виртуальных частных сетей для организации удаленного доступа (VPN);
- использование антивирусного программного обеспечения для отслеживания средств эксплуатации уязвимости.

Организационные меры:
1. Ограничить использование программного средства
2. Использование аналогичного программного средства

Оценка CVSS
Балл6.1 — средняя опасность
Источники и патчи
https://fahrplan.events.ccc.de/congress/2023/fahrplan/events/11919.htmlhttps://support.hp.com/us-en/document/ish_9929371-9929407-16/hpsbpy03899https://vuldb.com/?id.249258https://modzero.com/en/advisories/mz-23-01-poly-voip/https://modzero.com/static/MZ-23-01_modzero_Poly_VoIP_Devices.pdfhttps://github.com/advisories/GHSA-hpp6-2prw-cvwr
Проверьте безопасность своего сайта и почты → Полная проверка домена