تقریبا همه تلفن‌های اداری مورد استفاده در 500 شرکت برتر جهان دارای باگ RCE می‌باشند

پژوهشگران مک‌آفی اخیراً فاش کردند که در ارایه دهنده راهکار تلفن تحت شبکه (VOIP) که توسط Avaya ساخته شده است، آسیب‌پذیری اجرای کد از راه دور به با شناسه CVE-2009-0692 وجود دارد. یک مهاجم می‌تواند از این آسیب‌پذیری برای ربودن عملکرد عادی تلفن، استخراج و سرقت مکالمات صوتی و نظارت بر دستگاه سوء‌استفاده کند.

 Avaya یک شرکت ارایه دهنده راهکار VOIP و تأمین کننده تلفن‌های رومیزی تجاری است و با 90٪ شرکت‌های Fortune 500 توافقنامه‌ ارایه خدمات امضا کرده است. دستگاه دارای آسیب‌پذیری مربوط به مدل IP سری 9600 شرکت Avaya است. به گفته مک‌آفی، وجود این مشکل در سال 2009 گزارش شده است، اما تا به امروز برطرف نشده و همچنان در این نوع تلفن وجود دارد. به عبارت دیگر، نرم‌افزار منبع بازی که دارای مشکل بود، ده سال پیش به‌روزرسانی امنیتی را متوقف کرد. مک‌آفی در ادامه اضافه کرد که سوءاستفاده‌های مربوطه سالهاست که به صورت آنلاین در حال گردش است.

محققان اعلام کردند که CVE 2009 0692 یک آسیب‌پذیری بافر سرریز پشته است که در کلاینت ISC DHCP وجود دارد. یک پاسخ مخرب DHCP به این آسیب‌پذیری می‌تواند با استفاده از امتیازات کلاینت، پاسخ کد دلخواه را انجام دهد و قادر است پورت مشتری DHCP را خراب کند. طبق این گزارش، تا زمانی که شبکه تلفن هدف متصل باشد، هکر می‌تواند حملات مرتبط را انجام دهد.