Cisco, Tümleşik İletişim ve İletişim Merkezi Çözümleri ürünlerini etkileyen, kimliği doğrulanmamış uzaktaki bir saldırganın etkilenen cihazda rastgele kod yürütmesine izin verebilecek kritik bir güvenlik kusurunu gidermek için yamalar yayınladı.
Şu şekilde izlendi: CVE-2024-20253 (CVSS puanı: 9,9), sorun, bir tehdit aktörünün hassas bir cihazın dinleme bağlantı noktasına özel hazırlanmış bir mesaj göndermek için kötüye kullanabileceği, kullanıcı tarafından sağlanan verilerin uygunsuz işlenmesinden kaynaklanmaktadır.
Cisco, bir danışma belgesinde “Başarılı bir istismar, saldırganın temeldeki işletim sistemi üzerinde web hizmetleri kullanıcısının ayrıcalıklarıyla keyfi komutlar yürütmesine olanak tanıyabilir” dedi. “Saldırgan, temel işletim sistemine erişim sayesinde etkilenen cihazda root erişimi de sağlayabilir.”
Synacktiv güvenlik araştırmacısı Julien Egloff, CVE-2024-20253’ü keşfetme ve raporlama konusunda itibar kazandı. Aşağıdaki ürünler bu kusurdan etkilenmektedir:
- Birleşik İletişim Yöneticisi (sürüm 11.5, 12.5(1) ve 14)
- Birleşik İletişim Yöneticisi IM ve Durum Hizmeti (sürüm 11.5(1), 12.5(1) ve 14)
- Unified Communications Manager Oturum Yönetimi Sürümü (sürüm 11.5, 12.5(1) ve 14)
- Unified Contact Center Express (sürüm 12.0 ve önceki sürümler ile 12.5(1))
- Unity Connection (sürüm 11.5(1), 12.5(1) ve 14) ve
- Sanallaştırılmış Ses Tarayıcı (12.0 ve önceki sürümler, 12.5(1) ve 12.5(2))
Eksikliği giderecek herhangi bir geçici çözüm olmasa da, ağ ekipmanı üreticisi, kullanıcıları, güncellemeleri uygulamanın hemen mümkün olmadığı durumlarda erişimi sınırlamak için erişim kontrol listeleri oluşturmaya çağırıyor.
Şirket, “Yalnızca konuşlandırılan hizmetlerin bağlantı noktalarına erişime izin vermek için Cisco Tümleşik İletişim veya Cisco İletişim Merkezi Çözümleri kümesini kullanıcılardan ve ağın geri kalanından ayıran aracı cihazlarda erişim kontrol listeleri (ACL’ler) oluşturun” dedi.
Açıklama, Cisco’nun Unity Connection’ı etkileyen (CVE-2024-20272, CVSS puanı: 7,3) kritik bir güvenlik kusuruna yönelik, bir saldırganın temel sistem üzerinde rastgele komutlar yürütmesine izin verebilecek düzeltmeleri göndermesinden haftalar sonra geldi.