Ağ sağlayıcısının tümleşik iletişim serisinin bir parçasını oluşturan bir mesajlaşma ve sesli posta ürünü olan Cisco Unity Connection’daki kritik bir güvenlik açığı, kimliği doğrulanmamış ve uzaktaki saldırganların hedeflenen sistemlerde kök ayrıcalıkları elde etmesine olanak sağlayabilir ve bu güvenlik açığının derhal ele alınması gerekir.
CVE-2024-20272 olarak atanan kusur, Unity Connection’ın web tabanlı yönetim arayüzünde yer alıyor. Belirli bir uygulama programlama arayüzünde (API) kimlik doğrulama eksikliği ve kullanıcı-tedarikçi verilerinin uygunsuz şekilde doğrulanması nedeniyle ortaya çıkmıştır.
“Bir saldırgan, etkilenen sisteme rastgele dosyalar yükleyerek bu güvenlik açığından yararlanabilir. Başarılı bir açıktan yararlanma, saldırganın sistemde kötü amaçlı dosyalar depolamasına, işletim sisteminde rastgele komutlar yürütmesine ve kök ayrıcalıklarını yükseltmesine olanak tanıyabilir,” dedi Cisco, 10 Ocak Çarşamba günü TSİ 16:00’da yayınlanan bir danışma belgesinde.
“Cisco, bu güvenlik açığını gideren yazılım güncellemeleri yayınladı. Bu güvenlik açığını ortadan kaldıracak herhangi bir geçici çözüm yok” dedi.
Güvenlik açığının şu anda Unity Connection’ın 12.5 ve önceki sürümleri ile 14 sürümlerini etkilediği biliniyor. En son sürüm olan 15, etkilenmez.
Cisco, Unity Connection kullanıcılarını, güvenlik araştırmacısı Maxim Suslov’a atfedilen, sorunu çözecek ücretsiz güncellemeyi edinip uygulamaya çağırıyor. Daha fazla bilgiyi Cisco’dan edinebilirsiniz.
PSIRT’nin şu anda herhangi bir kamuya açıklanmasından veya güvenlik açığının kötü niyetli kullanımından haberdar olmadığını ekledi.
Cisco Unity Connection ürünü, kullanıcıların e-posta gelen kutularından, bir web tarayıcısından, Cisco Jabber’den, Cisco Unified IP Phone’dan, akıllı telefondan veya tabletten mesajlarına erişmelerine ve mesajlarını yönetmelerine olanak tanıyan “sağlam bir birleşik mesajlaşma ve sesli posta çözümü” olarak tanımlanıyor.
Sesli komut desteği, konuşmayı metne dönüştürme ve video selamlama gibi çeşitli mesaj erişim ve dağıtım formatı seçeneklerine sahiptir.
Özellikle şube ofislerine odaklanarak karmaşık dağıtılmış küresel dağıtımlar için tasarlanan ürün, tamamen sanallaştırılmıştır ve spesifikasyona dayalı donanım üzerinde çalıştırılabilir.
Ek güvenlik açıkları
Cisco, CVE-2024-20272 yamasının yanı sıra daha az önem derecesine sahip 10 ek güvenlik açığına yönelik düzeltmeler de yayınladı:
CVE-2024-20251, Cisco Kimlik Hizmetleri Motorunda siteler arası komut dosyası çalıştırma güvenlik açığı.
CVE-2024-20270, Cisco BroadWorks Uygulama Dağıtım Platformu ve Genişletilmiş Hizmetler Platformunda siteler arası komut dosyası çalıştırma güvenlik açığı.
CVE-2023-20257, -20258, -20260 ve -20271, Cisco Evolved Programmable Network Manager ve Cisco Prime Infrastructure’daki altyapı güvenlik açıklarının dörtte biri.
CVE-2024-20287, Cisco WAP371 Kablosuz Erişim Noktasında bir komut ekleme güvenlik açığı.
CVE-2024-20277, Cisco ThousandEyes Enterprise Agent Virtual Appliance’ta bir ayrıcalık yükseltme güvenlik açığı.
Ve Cisco Telepresence Management Suite’teki bir çift siteler arası komut dosyası çalıştırma güvenlik açığı olan CVE-2023-20248 ve -20249.
Bu güvenlik açıklarının tümü orta önemde olarak değerlendiriliyor ve 4,8 ile 6,8 arasında CVSS puanı taşıyor. Her biriyle ilgili daha fazla ayrıntıya Cisco’nun güvenlik danışma mikro sitesi aracılığıyla ulaşılabilir.
“Kurumlar için en önemli risk, kritik yamaları uygulama hızı değil; bu, yamaların her varlığa uygulanmamasından kaynaklanıyor”
Brian Contos, Sevco Güvenliği
Cisco Kimlik Hizmetleri Motoru’ndaki iki ayrıcalık yükseltme güvenlik açığına (CVE-2023-20193 ve -20194) yönelik güncellenmiş düzeltmeler 8 Ocak’ta yayımlandı. Bu sayılar ilk olarak Eylül 2023’te yayınlandı.
Varlık görünürlüğü ve yönetimi uzmanı Sevco Security’nin güvenlik şefi Brian Contos, güncellemeler hakkında şunları söyledi: “Görünüşe göre her gün, kurumsal güvenlik ekiplerinin yama yapmak için acele ettiği, ortalığı kasıp kavurma potansiyeli olan başka bir kritik güvenlik açığını duyuyoruz. bir sonrakine geçmeden önce. Kuruluşlar için en önemli risk, kritik yamaları uygulama hızı değildir; yamaların her varlığa uygulanmamasından kaynaklanmaktadır.
“Gerçek şu ki, çoğu kuruluş güncel ve doğru bir BT varlık envanteri tutma konusunda başarısız oluyor ve yama yönetimine yönelik en titiz yaklaşım, terk edilenler veya unutulanlar da dahil olmak üzere tüm kurumsal varlıkların muhasebeleştirilmesini sağlayamıyor. . Saldırı yüzeyinin tamamını göremediğinizde ağınızı savunmanız imkansızdır. Bu nedenle kapsamlı, gerçek zamanlı bir BT varlıkları envanteri geliştirme yeteneği, başarılı bir güvenlik programının temel unsurudur.”