Cisco, Birleşik İletişim Yöneticisi (CM) ve İletişim Merkezi Çözümleri ürünlerinin birçoğunun, kritik önemde uzaktan kod yürütme güvenlik sorununa karşı savunmasız olduğu konusunda uyarıyor.
Cisco’nun Tümleşik İletişim ve İletişim Merkezi Çözümleri, kurumsal düzeyde ses, video ve mesajlaşma hizmetlerinin yanı sıra müşteri etkileşimi ve yönetimi sağlayan entegre çözümlerdir.
Şirket, şu anda CVE-2024-20253 olarak izlenen ve kimliği doğrulanmamış, uzaktaki bir saldırganın etkilenen cihazda rastgele kod çalıştırmasına izin verebilecek güvenlik açığı hakkında uyarıda bulunmak için bir güvenlik bülteni yayınladı.
Güvenlik açığı, Synacktiv araştırmacısı Julien Egloff tarafından keşfedildi ve maksimum 10 üzerinden 9,9 temel puan aldı. Bu güvenlik açığı, belleğe okunan kullanıcı tarafından sağlanan verilerin hatalı işlenmesinden kaynaklanıyor.
Saldırganlar, bir dinleme portuna özel hazırlanmış bir mesaj göndererek, potansiyel olarak web hizmetleri kullanıcısının ayrıcalıklarıyla isteğe bağlı komutları yürütme ve kök erişimi kurma yeteneği kazanarak bu durumdan yararlanabilir.
CVE-2024-20253, aşağıdaki Cisco ürünlerini varsayılan yapılandırmalarında etkiler:
- Paketlenmiş İletişim Merkezi Kurumsal (PCCE) sürümleri 12.0 ve önceki sürümler, 12.5(1) ve 12.5(2)
- Unified Communications Manager (Unified CM) sürüm 11.5, 12.5(1) ve 14. (Unified CM SME için aynı)
- Birleşik İletişim Yöneticisi IM ve Durum Hizmeti (Birleşik CM IM&P) sürümleri 11.5(1), 12.5(1) ve 14.
- Unified Contact Center Enterprise (UCCE) sürümleri 12.0 ve önceki sürümler, 12.5(1) ve 12.5(2).
- Birleşik İletişim Merkezi Ekspres (UCCX) sürümleri 12.0 ve önceki sürümler ile 12.5(1).
- Unity Connection sürümleri 11.5(1), 12.5(1) ve 14.
- Sanallaştırılmış Ses Tarayıcısı (VVB) sürümleri 12.0 ve önceki sürümler, 12.5(1) ve 12.5(2).
Satıcı, geçici bir çözüm olmadığını ve önerilen eylemin mevcut güvenlik güncellemelerini uygulamak olduğunu söylüyor. Aşağıdaki sürümler, kritik uzaktan kod yürütme (RCE) kusurunu ele almaktadır:
- PCCE: 12.5(1) ve 12.5(2), ucos.v1_java_deserial-CSCwd64245.cop.sgn yamasını uygular.
- Birleşik CM ve Birleşik CME: 12.5(1)SU8 veya ciscocm.v1_java_deserial-CSCwd64245.cop.sha512. 14SU3 veya ciscocm.v1_java_deserial-CSCwd64245.cop.sha512.
- Birleşik CM IM&P: 12.5(1)SU8 veya ciscocm.cup-CSCwd64276_JavaDeserialization.cop.sha512. 14SU3 veya ciscocm.cup-CSCwd64276_JavaDeserialization.cop.sha512.
- UCCC: 12.5(1) ve 12.5(2) için ucos.v1_java_deserial-CSCwd64245.cop.sgn yamasını uygulayın.
- UCCX: 12.5(1) için ucos.v1_java_deserial-CSCwd64245.cop.sgn yamasını uygulayın.
- VVB: 12.5(1) ve 12.5(2) için ucos.v1_java_deserial-CSCwd64245.cop.sgn yamasını uygulayın.
Cisco, güncellemeleri uygulamanın hemen mümkün olmadığı durumlara karşı bir azaltma stratejisi olarak yöneticilere erişim kontrol listeleri (ACL’ler) oluşturmalarını tavsiye eder.
Özellikle kullanıcıların, Cisco Tümleşik İletişim veya Cisco İletişim Merkezi Çözümleri kümesini kullanıcılardan ve ağın geri kalanından ayıran aracı cihazlara ACL’leri uygulamaları önerilir.
ACL’lerin yalnızca dağıtılan hizmetlerin bağlantı noktalarına erişime izin verecek ve etkilenen bileşenlere ulaşabilecek trafiği etkili bir şekilde kontrol edecek şekilde yapılandırılması gerekir.
Yöneticiler, herhangi bir etki azaltma önlemini uygulamaya koymadan önce bunların uygulanabilirliğini ve ortam üzerindeki potansiyel etkilerini değerlendirmeli ve iş operasyonlarının etkilenmediğinden emin olmak için bunları kontrollü bir alanda test etmelidir.
Şirket, herhangi bir kamu duyurusundan veya güvenlik açığının kötü niyetli kullanımından haberdar olmadığını belirtiyor.