Cisco, 2024’e Cisco Unity Connection birleşik mesajlaşma ve sesli posta ürününde kritik bir güvenlik açığıyla girdi.
Cisco’nun CVE-2024-20272 tavsiye belgesinde, hatanın Unity Connection’ın web yönetimi arayüzünde mevcut olduğu açıklanmaktadır.
Hata Maxim Suslov tarafından keşfedildi. Cisco, vahşi ortamda herhangi bir istismarın farkında olmadığını söyledi.
Tavsiye belgesinde “Bu güvenlik açığı, belirli bir API’de kimlik doğrulama eksikliğinden ve kullanıcı tarafından sağlanan verilerin uygunsuz şekilde doğrulanmasından kaynaklanmaktadır” ifadesi yer alıyor.
Saldırganın sisteme rastgele dosyalar yüklemesine ve işletim sistemi komutlarını yürütmesine olanak tanır.
“Başarılı bir istismar, saldırganın sistemde kötü amaçlı dosyalar depolamasına, işletim sisteminde rastgele komutlar yürütmesine ve ayrıcalıkları root’a yükseltmesine olanak tanıyabilir” diye ekliyor.
Hatanın çözümü bulunmuyor.
Güvenlik açığı Unity Connection sürüm 12.5 ve önceki sürümlerini etkiliyor; ve sürüm 14. Her iki şube için de sabit yazılım mevcuttur ve Sürüm 15’te güvenlik açığı bulunmamaktadır.
Kullanıcılar, düzeltmelerin Cisco yazılım indirme merkezi aracılığıyla kullanılamayacağını unutmamalıdır; daha doğrusu, bu bir “mühendislik özel” sürümüdür ve müşterilerin düzeltmeyi edinmek için Cisco’nun Teknik Yardım Merkezi (TAC) ile iletişime geçmesi gerekir.