ГлавнаяБаза уязвимостей БДУ → BDU:2024-00375
8.3высокая

BDU:2024-00375

Уязвимость микропрограммного обеспечения телефонов и акустических систем для конференц-связи Poly, позволяющая нарушителю выполнить произвольные команды операционной системы
Опубликовано: 2024-01-17
Описание

Уязвимость микропрограммного обеспечения телефонов и акустических систем для конференц-связи Poly существует из-за непринятия мер по нейтрализации специальных элементов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды операционной системы

Затрагиваемое ПО и версии
Trio 8300Trio 8500Trio 8800Trio C60CCX 350CCX 400CCX 500CCX 505CCX 600CCX 700EDGE E100EDGE E220EDGE E300EDGE E320EDGE E350EDGE E400EDGE E450EDGE E500EDGE E550VVX 101VVX 150VVX 201VVX 250VVX 300VVX 301VVX 310VVX 311VVX 350VVX 400VVX 401
Способ устранения

Компенсирующие меры:
- использование средств межсетевого экранирования и средств обнаружения и предотвращения вторжений (IDS/IPS) для отслеживания подключений к устройству;
- ограничение доступа к устройству из внешних сетей (Интернет);
- использование виртуальных частных сетей для организации удаленного доступа (VPN);
- использование антивирусного программного обеспечения для отслеживания средств эксплуатации уязвимости.

Организационные меры:
1. Ограничить использование программного средства
2. Использование аналогичного программного средства

Оценка CVSS
Балл8.3 — высокая опасность
Источники и патчи
https://fahrplan.events.ccc.de/congress/2023/fahrplan/events/11919.htmlhttps://support.hp.com/us-en/document/ish_9931565-9931594-16/hpsbpy03898https://vuldb.com/?id.249257https://github.com/modzero/MZ-23-01-Poly-VoIP-Deviceshttps://modzero.com/en/advisories/mz-23-01-poly-voip/https://modzero.com/static/MZ-23-01_modzero_Poly_VoIP_Devices.pdf
Проверьте безопасность своего сайта и почты → Полная проверка домена