Cisco, Unity Connection’ı etkileyen ve bir saldırganın temel sistem üzerinde rastgele komutlar yürütmesine izin verebilecek kritik bir güvenlik kusurunu gidermek için yazılım güncellemeleri yayınladı.
Şu şekilde izlendi: CVE-2024-20272 (CVSS puanı: 7,3), güvenlik açığı, web tabanlı yönetim arayüzünde bulunan rastgele bir dosya yükleme hatasıdır ve belirli bir API’de kimlik doğrulama eksikliğinin ve kullanıcı tarafından sağlanan verilerin uygunsuz şekilde doğrulanmasının sonucudur.
Cisco, “Bir saldırgan, etkilenen sisteme rastgele dosyalar yükleyerek bu güvenlik açığından yararlanabilir” dedi. söz konusu Çarşamba günü yayınlanan bir danışma belgesinde. “Başarılı bir istismar, saldırganın sistemde kötü amaçlı dosyalar depolamasına, işletim sisteminde rastgele komutlar yürütmesine ve root ayrıcalıklarını yükseltmesine olanak tanıyabilir.”
Kusur, Cisco Unity Connection’ın aşağıdaki sürümlerini etkiliyor. Sürüm 15 savunmasız değildir.
- 12.5 ve önceki sürümler (12.5.1.19017-4 sürümünde düzeltildi)
- 14 (14.0.1.14006-5 sürümünde düzeltildi)
Güvenlik araştırmacısı Maxim Suslov, kusuru keşfedip rapor etme konusunda itibar kazandı. Cisco, bu hatanın yaygın olarak istismar edildiğinden bahsetmiyor ancak kullanıcıların potansiyel tehditleri azaltmak için sabit bir sürüme güncelleme yapmaları tavsiye ediliyor.
Cisco, CVE-2024-20272 yamasının yanı sıra, Identity Services Engine, WAP371 Kablosuz Erişim Noktası, ThousandEyes Enterprise Agent ve TelePresence Management Suite (TMS) dahil olmak üzere yazılımını kapsayan 11 orta önemdeki güvenlik açığını gidermek için güncellemeler de gönderdi.
Ancak Cisco, WAP371’deki komut ekleme hatasına yönelik bir düzeltme yayınlama niyetinde olmadığını belirtti (CVE-2024-20287CVSS puanı: 6,5), Haziran 2019 itibarıyla cihazın kullanım ömrünün sonuna (EoL) ulaştığını belirtiyor. Bunun yerine müşterilere Cisco Business 240AC Erişim Noktası’na geçiş yapmaları öneriliyor.