思科稱在其一些針對中小企業(yè)的IP電話中存在漏洞，這可能導(dǎo)致用戶被竊聽。目前思科還沒有發(fā)布修復(fù)程序，但提供了緩解技術(shù)。

[[130572]]

在思科兩套不同的IP電話中發(fā)現(xiàn)存在漏洞，該供應(yīng)商稱這個漏洞可能允許攻擊者遠(yuǎn)程竊聽電話通話。

思科已經(jīng)證實在其Small Business SPA 300和500系列IP電話的固件中存在漏洞(CVE-2015-0670)，這個漏洞影響著7.5.5版本手機(jī)，但也可能會影響以后的版本。

根據(jù)思科公告顯示，該漏洞的出現(xiàn)是由于默認(rèn)配置中不當(dāng)?shù)纳矸蒡炞C設(shè)置，并可能通過發(fā)送特制的XML請求到受影響設(shè)備而被利用。

如果這種漏洞利用成功了，攻擊者可以竊聽通話，遠(yuǎn)程啟動電話，或執(zhí)行進(jìn)一步攻擊。

然而，思科淡化了這個漏洞，稱它不太可能被利用，并指出這種成功的漏洞利用可能被緩解，因為在發(fā)送特制XML請求之前，攻擊者還需要攻入可信內(nèi)部網(wǎng)絡(luò)的防火墻。

思科還沒有向受影響設(shè)備發(fā)布軟件更新，也沒有給出時間表。但思科建議部署暫時緩解技術(shù)，例如禁用受影響設(shè)備的設(shè)置中的XML執(zhí)行身份驗證，并考慮使用基于IP的訪問控制列表(ACL)，該列表只會允許可信系統(tǒng)連接到受影響設(shè)備。