思科已经在其一系列互联网协议(IP)手机中披露了一个关键缺陷。 然而，由于COVID-19大流行造成的“减轻罪行的情况”，它最初希望打破自己的90天披露政策。

与谷歌一样，思科的政策是在报告问题90天后公开披露在自己和其他供应商产品中发现的安全漏洞。

根据这一政策，该公司刚刚发布了一个关键缺陷的详细信息，该缺陷影响到其几个移动和桌面IP电话，允许远程攻击者在没有凭据的情况下崩溃电话或在具有根权限的设备上执行任意代码。

SEE：赢得网络安全的战略(ZDNet特别报告)|以PD F格式下载该报告(技术共和国)

该缺陷被跟踪为CVE-2020-3161，是一个简单的错误，因为它没有正确地验证跨Web的HTTP请求。 然而，攻击者可能会利用它来破坏其无线IP电话用户的通信，他们碰巧在医疗保健领域工作，那里的通信技术已经由于这一流行病而受到压力。

根据思科的说法，其移动IP设备用户主要是“医疗保健方面的医生、护士和技术人员;零售方面的客户服务和服务台工作人员;以及制造业、石油和化工行业的管理和工程人员”。

安全公司Tenable的JacobBaines于1月23日向思科产品安全事件应对小组(PS IR T)报告了这一问题。 PSIRT在2月初确认了这一错误，并要求在4月15日进行协调披露——比4月22日的90天期限提前一周。

但贝恩斯在一份披露时间表中指出，3月25日，欧洲和美国政府要求公民呆在家里，以阻止COVID-19的传播：“思科要求Tenable[要]推迟披露，因为目前的情有可原的情况。”

特恩同意危机需要偏离披露政策，并询问思科是否会“阻止补丁”。

最终，思科决定继续执行最初的披露时间表，因为它无法阻止4月15日的修复，详见Tenable的时间表：

03/26/2020-Cisco说，“我们内部讨论过，很可能不可能停止在4/15/2020上发布代码，所以我们将按照计划进行4/15/2020的披露。

03/26/2020-终身承认。 特恩和思科交换了一堆关于CVE任务的电子邮件。

Cisco将错误描述为：“CiscoIP电话的Web服务器中的漏洞可能允许未经身份验证的远程攻击者执行具有根权限的代码，或者导致受影响的IP电话重新加载，从而导致拒绝服务(DoS)条件。”

受影响的思科模型包括其IP电话7811、7821、7841和7861桌面电话;IP电话8811、8841、8845、8851、8861和8865桌面电话;统一IP会议电话8831;无线IP电话8821和8821-EX。

贝恩斯说，思科的软件没有检查HTTP请求中参数字符串的长度，这可能导致设备内存中基于堆栈的缓冲区溢出。 他还在GitHub上发布了DoS攻击的概念证明，但排除了远程代码执行的细节。

SEE：开发人员：领先不仅仅是编程语言

思科还更新了其在2016年披露的IP电话中类似错误的咨询，该公司最初不包括无线IP电话，并表示攻击需要认证。

一个缓解因素是Web服务器功能默认在CiscoIP电话上被禁用。 然而，管理员通常希望启用它进行远程配置和监视。 例如，Cisco质量报告工具和CiscoWorks等服务应用程序依赖于Web访问才能正常运行。