Cisco, kimliği doğrulanmamış bir saldırganın etkilenen sistemde rastgele dosyalar yüklemesine ve kök ayrıcalığı kazanmasına olanak tanıyan, Cisco Unity Connection’da kritik bir güvenlik açığını (CVE-2024-20272) düzeltti.
Cisco Unity Connection, e-posta gelen kutusu, web tarayıcısı, Cisco Jabber, Cisco Unified IP Phone, akıllı telefon ve tablet için birleşik bir mesajlaşma ve sesli posta çözümüdür.
CVE-2024-20272 Hakkında
CVE-2024-20272, Cisco Unity Connection’ın web tabanlı yönetim arayüzünde, uzak, kimliği doğrulanmamış bir tehdit aktörü tarafından hedeflenen sisteme rastgele dosyalar yüklemek, temel işletim sisteminde komutlar yürütmek için kullanılabilecek, kimliği doğrulanmamış bir rastgele dosya yükleme güvenlik açığıdır ve kök ayrıcalıkları kazanın.
Cisco, güvenlik tavsiyesinde “Bu güvenlik açığı, belirli bir API’de kimlik doğrulama eksikliğinden ve kullanıcı tarafından sağlanan verilerin uygunsuz şekilde doğrulanmasından kaynaklanmaktadır” dedi.
Yazılım geliştirme danışmanı Maxim Suslov tarafından bildirilen CVE-2024-20272, Cisco Unity Connection yazılımının 12.5 (ve öncesi) ve 14 sürümlerini etkiliyor ancak sürüm 15’i etkilemiyor.
Herhangi bir geçici çözüm olmadığından müşterilerin sabit sürümlere güncelleme yapmaları önerilir.
Şirket, “Cisco PSIRT’nin bu danışma belgesinde açıklanan güvenlik açığına ilişkin herhangi bir kamu duyurusundan veya kötü niyetli kullanımından haberi yoktur” dedi.
Cisco yazılımı saldırı altında
Cisco çözümlerindeki güvenlik açıklarından genellikle saldırganlar yararlanıyor.
Geçtiğimiz Eylül ayında Cisco, Cisco Adaptive Security Appliance (ASA) ve Cisco Firepower Threat Defense (FTD) güvenlik duvarlarında yaygın olarak kullanılan bir güvenlik açığını (CVE-2023-20269) “düzeltti”.
Ertesi ay şirket, Cisco IOS XE yazılımını çalıştıran ağ cihazlarını etkileyen, istismar edilen bir sıfır gün güvenlik açığını (CVE-2023-20198) düzeltti.