Cisco a publié des correctifs pour corriger une faille de sécurité critique affectant les produits de communications unifiées et de solutions de centre de contact, qui pourrait permettre à un attaquant distant non authentifié d’exécuter du code arbitraire sur un appareil affecté.
Suivi comme CVE-2024-20253 (score CVSS : 9,9), le problème provient d’un traitement inapproprié des données fournies par l’utilisateur dont un acteur malveillant pourrait abuser pour envoyer un message spécialement conçu à un port d’écoute d’une appliance sensible.
« Un exploit réussi pourrait permettre à l’attaquant d’exécuter des commandes arbitraires sur le système d’exploitation sous-jacent avec les privilèges de l’utilisateur des services Web », a déclaré Cisco. dit dans un avis. « En accédant au système d’exploitation sous-jacent, l’attaquant pourrait également établir un accès root sur l’appareil concerné. »
Julien Egloff, chercheur en sécurité chez Synacktiv, a été reconnu pour avoir découvert et signalé CVE-2024-20253. Les produits suivants sont concernés par la faille –
- Gestionnaire de communications unifiées (versions 11.5, 12.5(1) et 14)
- Service de messagerie instantanée et de présence Unified Communications Manager (versions 11.5(1), 12.5(1) et 14)
- Édition de gestion de session Unified Communications Manager (versions 11.5, 12.5(1) et 14)
- Unified Contact Center Express (versions 12.0 et antérieures et 12.5(1))
- Unity Connection (versions 11.5(1), 12.5(1) et 14) et
- Navigateur vocal virtualisé (versions 12.0 et antérieures, 12.5(1) et 12.5(2))
Bien qu’il n’existe aucune solution de contournement pour remédier à cette lacune, le fabricant d’équipements réseau exhorte les utilisateurs à établir des listes de contrôle d’accès pour limiter l’accès là où l’application des mises à jour n’est pas immédiatement possible.
« Établissez des listes de contrôle d’accès (ACL) sur les appareils intermédiaires qui séparent le cluster Cisco Unified Communications ou Cisco Contact Center Solutions des utilisateurs et du reste du réseau pour autoriser l’accès uniquement aux ports des services déployés », a déclaré la société.
La divulgation arrive quelques semaines après que Cisco a publié des correctifs pour une faille de sécurité critique affectant Unity Connection (CVE-2024-20272, score CVSS : 7,3) qui pourrait permettre à un adversaire d’exécuter des commandes arbitraires sur le système sous-jacent.