Cisco vừa phát hành các bản vá để khắc phục một lỗ hổng bảo mật nguy hiểm ảnh hưởng đến các sản phẩm Unified Communications và Contact Center Solutions có thể cho phép kẻ tấn công từ xa chưa xác thực thực hiện mã tùy ý trên thiết bị bị ảnh hưởng.
Được theo dõi dưới mã định danh CVE-2024-20253 (điểm CVSS: 9.9), xuất phát từ việc xử lý không đúng của dữ liệu do người dùng cung cấp khiến kẻ tấn công có thể lợi dụng để gửi tin nhắn đến thiết bị dễ tấn công.
Cisco cho biết: “Cuộc tấn công này có thể cho phép kẻ tấn công thực hiện các lệnh tùy ý trên hệ thống điều hành cơ sở với quyền của người dùng dịch vụ web,” “Với quyền truy cập vào hệ điều hành cơ sở, kẻ tấn công cũng có thể thiết lập quyền truy cập root trên thiết bị bị ảnh hưởng.”
Nhà nghiên cứu về bảo mật Synacktiv Julien Egloff đã phát hiện một số sản phẩm bị ảnh hưởng bởi lỗ hổng CVE-2024-20253:
- Unified Communications Manager (phiên bản 11.5, 12.5(1) và 14).
- Unified Communications Manager IM & Presence Service (phiên bản 11.5(1), 12.5(1) và 14).
- Unified Communications Manager Session Management Edition (phiên bản 11.5, 12.5(1) và 14).
- Unified Contact Center Express (phiên bản 12.0 và cũ hơn và 12.5(1)).
- Unity Connection (phiên bản 11.5(1), 12.5(1) và 14).
- Virtualized Voice Browser (phiên bản 12.0 và cũ hơn, 12.5(1) và 12.5(2)).
Mặc dù chưa có cách giải quyết được vấn đề này, nhà sản xuất thiết bị mạng đang thông báo với người dùng thiết lập danh sách kiểm soát để giới hạn truy cập.
Công ty cho biết: “Thiết lập danh sách kiểm soát truy cập (ACL) trên các thiết bị trung gian để phân tách the Cisco Unified Communications hoặc Cisco Contact Center Solutions từ người dùng và phần còn lại của mạng để cho phép truy cập vào cổng dịch vụ triển khai.”
Thông tin tiết lộ đến sau vài tuần sau khi Cisco phát hành bản vá cho lỗ hổng bảo mật quan trọng ảnh hưởng đến Kết nối Unity (CVE-2024-20272, điểm CVSS: 7.3) có thể cho phép một kẻ tấn công thực hiện các lệnh tùy ý trên hệ thống cơ bản.