思科稱在其一些針對中小企業(yè)的IP電話中存在漏洞，這可能導致用戶被竊聽。目前思科還沒有發(fā)布修復程序，但提供了緩解技術。

[[130572]]

在思科兩套不同的IP電話中發(fā)現(xiàn)存在漏洞，該供應商稱這個漏洞可能允許攻擊者遠程竊聽電話通話。

思科已經(jīng)證實在其Small Business SPA 300和500系列IP電話的固件中存在漏洞(CVE-2015-0670)，這個漏洞影響著7.5.5版本手機，但也可能會影響以后的版本。

根據(jù)思科公告顯示，該漏洞的出現(xiàn)是由于默認配置中不當?shù)纳矸蒡炞C設置，并可能通過發(fā)送特制的XML請求到受影響設備而被利用。

如果這種漏洞利用成功了，攻擊者可以竊聽通話，遠程啟動電話，或執(zhí)行進一步攻擊。

然而，思科淡化了這個漏洞，稱它不太可能被利用，并指出這種成功的漏洞利用可能被緩解，因為在發(fā)送特制XML請求之前，攻擊者還需要攻入可信內(nèi)部網(wǎng)絡的防火墻。

思科還沒有向受影響設備發(fā)布軟件更新，也沒有給出時間表。但思科建議部署暫時緩解技術，例如禁用受影響設備的設置中的XML執(zhí)行身份驗證，并考慮使用基于IP的訪問控制列表(ACL)，該列表只會允許可信系統(tǒng)連接到受影響設備。