Cisco đã phát hành các bản vá để giải quyết một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến các sản phẩm Giải pháp Trung tâm Liên lạc và Truyền thông Hợp nhất có thể cho phép kẻ tấn công từ xa, không được xác thực thực thi mã tùy ý trên thiết bị bị ảnh hưởng.
Được theo dõi là CVE-2024-20253 (điểm CVSS: 9.9), vấn đề bắt nguồn từ việc xử lý không đúng cách dữ liệu do người dùng cung cấp mà tác nhân đe dọa có thể lạm dụng để gửi tin nhắn được chế tạo đặc biệt đến cổng nghe của thiết bị nhạy cảm.
"Việc khai thác thành công có thể cho phép kẻ tấn công thực hiện các lệnh tùy ý trên hệ điều hành cơ bản với các đặc quyền của người dùng dịch vụ web", Cisco cho biết trong một lời khuyên. "Với quyền truy cập vào hệ điều hành cơ bản, kẻ tấn công cũng có thể thiết lập quyền truy cập root trên thiết bị bị ảnh hưởng."
Nhà nghiên cứu bảo mật Synacktiv Julien Egloff đã được ghi nhận là người phát hiện và báo cáo CVE-2024-20253. Các sản phẩm sau đây bị ảnh hưởng bởi lỗ hổng -
- Unified Communications Manager (phiên bản 11.5, 12.5(1) và 14)
- Unified Communications Manager IM &; Presence Service (phiên bản 11.5(1), 12.5(1) và 14)
- Unified Communications Manager Session Management Edition (phiên bản 11.5, 12.5(1) và 14)
- Unified Contact Center Express (phiên bản 12.0 trở về trước và 12.5(1))
- Unity Connection (phiên bản 11.5(1), 12.5(1) và 14) và
- Trình duyệt giọng nói ảo hóa (phiên bản 12.0 trở về trước, 12.5(1) và 12.5(2))
Mặc dù không có cách giải quyết nào giải quyết thiếu sót, nhà sản xuất thiết bị mạng đang kêu gọi người dùng thiết lập danh sách kiểm soát truy cập để hạn chế quyền truy cập khi không thể áp dụng các bản cập nhật ngay lập tức.
"Thiết lập danh sách kiểm soát truy cập (ACL) trên các thiết bị trung gian tách biệt Cisco Unified Communications hoặc Cisco Contact Center Solutions khỏi người dùng và phần còn lại của mạng để chỉ cho phép truy cập vào các cổng của các dịch vụ được triển khai", công ty cho biết.
Việc tiết lộ được đưa ra vài tuần sau khi Cisco xuất xưởng các bản sửa lỗi bảo mật nghiêm trọng ảnh hưởng đến Unity Connection (CVE-2024-20272, điểm CVSS: 7.3) có thể cho phép đối thủ thực hiện các lệnh tùy ý trên hệ thống cơ bản.