Cisco hat Patches veröffentlicht, um eine kritische Sicherheitslücke in den Produkten Unified Communications und Contact Center Solutions zu beheben, die es einem nicht authentifizierten, entfernten Angreifer ermöglichen könnte, beliebigen Code auf einem betroffenen Gerät auszuführen.
Die CVE-2024-20253 (CVSS-Punktzahl: 9.9) wurde entdeckt, weil Benutzerdaten fehlerhaft verarbeitet werden, die ein Bedrohungsakteur nutzen könnte, um eine speziell angepasste Nachricht an einen empfangsbereiten Anschluss einer anfälligen Appliance zu senden.
„In einem erfolgreichen Angriff könnte der Angreifer beliebige Befehle auf dem darunterliegenden Betriebssystem mit den Privilegien des Web Services-Benutzers ausführen“, erklärte Cisco in einer Beratung. „Mit Zugriff auf das darunter liegende Betriebssystem könnte der Angreifer auch Root-Zugriff auf das betroffene Gerät erlangen.“
Der Sicherheitsforscher Julien Egloff von Synacktiv wurde dafür anerkannt, CVE-2024-20253 entdeckt und gemeldet zu haben. Von der Schwachstelle betroffen sind folgende Produkte:
– Unified Communications Manager (Versionen 11.5, 12.5(1) und 14)
– Unified Communications Manager IM & Presence Service (Versionen 11.5(1), 12.5(1) und 14)
– Unified Communications Manager Session Management Edition (Versionen 11.5, 12.5(1) und 14)
– Unified Contact Center Express (Versionen 12.0 und früher, sowie 12.5(1))
– Unity Connection (Versionen 11.5(1), 12.5(1) und 14)
– Virtualized Voice Browser (Versionen 12.0 und früher, 12.5(1) und 12.5(2))
Obwohl es keine Umgehungslösungen gibt, die das Problem beheben, fordert der Hersteller von Netzwerkgeräten die Benutzer auf, Zugriffslisten einzurichten, um den Zugriff einzuschränken, wenn die Updates nicht sofort durchgeführt werden können.
„Richten Sie Zugriffslisten (ACLs) auf Zwischengeräten ein, die den Cisco Unified Communications- oder Cisco Contact Center-Lösungscluster von Benutzern und dem Rest des Netzwerks trennen, um nur den Zugriff auf die Ports der bereitgestellten Dienste zu ermöglichen“, so das Unternehmen.
Die Offenlegung erfolgt Wochen nachdem Cisco Patches für eine kritische Sicherheitslücke in Unity Connection (CVE-2024-20272, CVSS-Punktzahl: 7.3) veröffentlicht hat, die es einem Angreifer ermöglichen könnte, beliebige Befehle auf dem darunterliegenden System auszuführen.