CVE-2024-20445: Los teléfonos IP de Cisco exponen datos confidenciales

En la serie de teléfonos IP de Cisco se ha descubierto una vulnerabilidad crítica ( CVE-2024-20445 ), que permite a atacantes remotos acceder a información confidencial. Los modelos vulnerables incluyen Desk Phone 9800, IP Phone 7800 y 8800, así como el Video Phone 8875.

El problema está relacionado con el almacenamiento incorrecto de datos en la interfaz web de los dispositivos que usan el protocolo SIP, lo que provoca la exposición de información sensible (CWE-200) cuando la función Web Access está habilitada. Los atacantes pueden aprovechar esta vulnerabilidad simplemente accediendo a la dirección IP del dispositivo vulnerable.

En caso de un ataque exitoso, se puede acceder a información como los registros de llamadas, lo que pone en riesgo la privacidad de los usuarios. Es importante señalar que la función Web Access está desactivada de forma predeterminada, lo que reduce el riesgo en cierta medida. Sin embargo, al activarla, la vulnerabilidad se vuelve explotable.

Cisco ha confirmado el problema y ha lanzado actualizaciones para corregir la vulnerabilidad. Desafortunadamente, no es posible mitigar el problema de otra manera que no sea actualizando el software. Todos los usuarios que tienen habilitado Web Access deben desactivar esta función o actualizar el software de inmediato.

Al momento de la publicación, la vulnerabilidad afecta a los modelos Cisco Desk Phone 9800, IP Phone 7800 y 8800 (excepto el Wireless IP Phone 8821), así como al Video Phone 8875. Para proteger sus datos, se recomienda a los usuarios verificar si la función Web Access está activada y, en caso necesario, desactivarla o instalar las actualizaciones correspondientes.