Cisco Alone не может исправить ошибку офисного телефона

Ang Cui ano провел 10 лет взломать Интернет-телефоны, подключенные к Интернету, и другие «встроенные устройства», т. Е. Устройства, которые не смотрю как компьютеры или серверы, но у них есть все атрибуты: процессор, память и часто возможность подключения к другим устройствам или Интернету. Как основатель Red Balloon Security, Цуй тратит много времени на оценку сложных промышленных систем управления и даже спутниковой инфраструктуры, но он все еще возвращается к IP-телефонам как к барометру того, насколько прогресс был достигнут в обеспечении безопасности Интернета вещей. Его последнее исследование показывает, что нам еще предстоит пройти долгий путь.

На конференции по безопасности SummerCon в пятницу в Нью-Йорке Цуй и его коллега по Red Balloon Юаньчжэ Ву представят новые выводы об уязвимостях в более десятка моделей Настольные IP-телефоны Cisco. Его можно использовать только при физическом доступе к целевому устройству, но если злоумышленник преуспеет, он сможет получить полный контроль над телефоном, который затем сможет использовать для подслушивания звонков, ошибок в окружающей комнате или других злонамеренных действий.

«Cisco выпустила обновления программного обеспечения для решения этой проблемы и не знает о злонамеренном использовании уязвимости, описанной в этой рекомендации», — сказал представитель Cisco WIRED в заявлении со ссылкой на предупреждение о безопасности компания объявила в среду.

Однако исследователи Red Balloon говорят, что патч Cisco не устранит полностью эту уязвимость; это только затрудняет использование ошибки. Это связано с тем, что обнаруженная ими уязвимость на самом деле отсутствует в коде, который Cisco может переписать или контролировать. Вместо этого он размещен в низкоуровневом микропрограммном обеспечении, разработанном производителем процессорных чипов Broadcom, которое Cisco использует в качестве дополнительной функции безопасности оборудования. Это также означает, что такая же уязвимость может присутствовать в других встроенных устройствах, использующих те же чипы Broadcom.

Broadcom не ответила на несколько запросов от WIRED о комментариях, но в среду Cisco заявила, что в реализации прошивки Broadcom есть ошибка.

«Послушайте, мы все были здесь с обнаружением ошибок в IP-телефонах Cisco, и они прошли долгий путь во многих отношениях», — сказал Цуй WIRED SummerCon. «Но факт наличия уязвимости неудивителен». В конце концов, эти вещи не безопаснее, чем 10 лет назад. «

Исследователи Red Balloon Security протестировали уязвимость на телефоне Cisco 8841, который включает в себя микросхему TrustZone Broadcom BCM 911360, специально разработанную для обеспечения телефона «корнем доверия». Аппаратные корни доверия могут повысить общую безопасность устройств. Например, Microsoft в настоящее время оказывает большое давление на пользователей, чтобы те приняли их как часть системных требований Windows 11. Цель состоит в том, чтобы добавить в чип дополнительный исполняемый код, который является неизменяемым и не может быть принципиально изменен основным процессором устройства. Таким образом, TrustZone может в основном контролировать остальную систему и реализовывать защиту безопасности, такую ​​как мониторинг загрузки, без риска повреждения.

Аппаратные корни доверия могут поднять планку безопасности устройства, но на практике они также создают загадку «наблюдателя». Если в функции аппаратной безопасности существуют уязвимости, они незаметно ставят под угрозу целостность всего устройства.

Чип Broadcom, который исследователи изучали на телефонах Cisco, имеет интерфейс прикладного программирования, который позволяет ограниченное взаимодействие, например, при настройке служб шифрования устройств. Исследователи обнаружили ошибку в API, которая позволяла злоумышленникам заставить их выполнять команды, которые нельзя было принимать.

[

generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
onlyfans hack
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator
generator

]

Add a Comment

Ваш адрес email не будет опубликован. Обязательные поля помечены *