تقریبا همه تلفنهای اداری مورد استفاده در 500 شرکت برتر جهان دارای باگ RCE میباشند

پژوهشگران مکآفی اخیراً فاش کردند که در ارایه دهنده راهکار تلفن تحت شبکه (VOIP) که توسط Avaya ساخته شده است، آسیبپذیری اجرای کد از راه دور به با شناسه CVE-2009-0692 وجود دارد. یک مهاجم میتواند از این آسیبپذیری برای ربودن عملکرد عادی تلفن، استخراج و سرقت مکالمات صوتی و نظارت بر دستگاه سوءاستفاده کند.
Avaya یک شرکت ارایه دهنده راهکار VOIP و تأمین کننده تلفنهای رومیزی تجاری است و با 90٪ شرکتهای Fortune 500 توافقنامه ارایه خدمات امضا کرده است. دستگاه دارای آسیبپذیری مربوط به مدل IP سری 9600 شرکت Avaya است. به گفته مکآفی، وجود این مشکل در سال 2009 گزارش شده است، اما تا به امروز برطرف نشده و همچنان در این نوع تلفن وجود دارد. به عبارت دیگر، نرمافزار منبع بازی که دارای مشکل بود، ده سال پیش بهروزرسانی امنیتی را متوقف کرد. مکآفی در ادامه اضافه کرد که سوءاستفادههای مربوطه سالهاست که به صورت آنلاین در حال گردش است.
محققان اعلام کردند که CVE 2009 0692 یک آسیبپذیری بافر سرریز پشته است که در کلاینت ISC DHCP وجود دارد. یک پاسخ مخرب DHCP به این آسیبپذیری میتواند با استفاده از امتیازات کلاینت، پاسخ کد دلخواه را انجام دهد و قادر است پورت مشتری DHCP را خراب کند. طبق این گزارش، تا زمانی که شبکه تلفن هدف متصل باشد، هکر میتواند حملات مرتبط را انجام دهد.