Cisco, Unity Connection’ı etkileyen ve bir saldırganın temel sistem üzerinde rastgele komutlar yürütmesine izin verebilecek kritik bir güvenlik kusurunu gidermek için yazılım güncellemeleri yayınladı.
Şu şekilde izlendi: CVE-2024-20272 (CVSS puanı: 7,3), güvenlik açığı, web tabanlı yönetim arayüzünde bulunan rastgele bir dosya yükleme hatasıdır ve belirli bir API’de kimlik doğrulama eksikliğinin ve kullanıcı tarafından sağlanan verilerin uygunsuz şekilde doğrulanmasının sonucudur.
Cisco Çarşamba günü yayınlanan bir danışma belgesinde, “Bir saldırgan, etkilenen sisteme rastgele dosyalar yükleyerek bu güvenlik açığından yararlanabilir” dedi. “Başarılı bir istismar, saldırganın sistemde kötü amaçlı dosyalar depolamasına, işletim sisteminde rastgele komutlar yürütmesine ve root ayrıcalıklarını yükseltmesine olanak tanıyabilir.”
Kusur, Cisco Unity Connection’ın aşağıdaki sürümlerini etkiliyor. Sürüm 15 savunmasız değildir.
- 12.5 ve öncesi (12.5.1.19017-4 sürümünde düzeltildi)
- 14 (14.0.1.14006-5 sürümünde düzeltildi)
Güvenlik araştırmacısı Maxim Suslov, kusuru keşfedip rapor etme konusunda itibar kazandı. Cisco, bu hatanın yaygın olarak istismar edildiğinden bahsetmiyor ancak kullanıcıların potansiyel tehditleri azaltmak için sabit bir sürüme güncelleme yapmaları tavsiye ediliyor.
Cisco, CVE-2024-20272 yamasının yanı sıra, Identity Services Engine, WAP371 Kablosuz Erişim Noktası, ThousandEyes Enterprise Agent ve TelePresence Management Suite (TMS) dahil olmak üzere yazılımını kapsayan 11 orta önemdeki güvenlik açığını gidermek için güncellemeler de gönderdi.
Ancak Cisco, WAP371’deki komut ekleme hatası için bir düzeltme yayınlamayı düşünmediğini (CVE-2024-20287, CVSS puanı: 6,5) belirterek, cihazın şu an itibarıyla kullanım ömrünün sonuna (EoL) ulaştığını belirtti. Haziran 2019. Bunun yerine müşterilerin Cisco Business 240AC Erişim Noktasına geçmeleri öneriliyor.