CVE-2024-20253: уязвимость Cisco позволяет выполнять произвольный код на устройствах колл-центра

Cisco выпустила обновления для устранения критической уязвимости, затрагивающей продукты Unified Communications and Contact Center, которая может позволить неаутентифицированному удаленному злоумышленнику выполнить произвольный код на целевом устройстве.

Отслеживаемая как CVE-2024-20253 (оценка CVSS: 9.9), проблема связана с неправильной обработкой предоставленных пользователем данных, которыми атакующий может злоупотребить для отправки специально созданного сообщения на прослушивающий порт уязвимого устройства.

Успешный эксплойт позволяет выполнять произвольные команды в базовой операционной системе с привилегиями пользователя веб-сервисов. Имея доступ к базовой операционной системе, киберпреступник также может получить root-доступ на затронутом устройстве.

Обнаружение и сообщение о недостатке приписывают исследователю безопасности Synacktiv Жюльену Эглоффу. Ошибка затрагивает следующие продукты:

• Unified Communications Manager (версии 11.5, 12.5(1) и 14);
• Unified Communications Manager IM & Presence Service (версии 11.5(1), 12.5(1) и 14);
• Unified Communications Manager Session Management Edition (версии 11.5, 12.5(1) и 14);
• Unified Contact Center Express (версии 12.0 и более ранние и 12.5(1));
• Unity Connection (версии 11.5(1), 12.5(1) и 14);
• Virtualized Voice Browser (версии 12.0 и более ранние, 12.5(1) и 12.5(2)).

Хотя обходных путей не существует, Cisco призывает пользователей настраивать списки контроля доступа, чтобы ограничить доступ там, где немедленное применение обновлений невозможно. Cisco рекомендует создать списки контроля доступа (access control lists, ACL) на промежуточных устройствах, которые отделяют кластер Cisco Unified Communications или Cisco Contact Center Solutions от пользователей и остальной части сети, чтобы разрешить доступ только к портам развернутых сервисов.