Cisco, Unified Communications Manager (CM) ve Contact Center Solutions ürünlerinin kritik RCE zafiyetlerinden etkilendiği açıkladı.
Şirket, CVE-2024-20253 olarak izlenen bu açıklık hakkında bir güvenlik duyurusu yayınladı. Zafiyeti istismar eden saldırganlar sistem üzerinde RCE yapabileceği belirtildi.
Saldırganlar, özel olarak oluşturulmuş bir mesajı dinleme portuna göndererek bu açığı sömürebilir ve RCE’nin yanı sıra root ayrıcalıklarıda elde edebilir.
CVE-2024-20253, aşağıdaki Cisco ürünlerdeki varsayılan yapılandırmaları etkiliyor.
Packaged Contact Center Enterprise (PCCE) versions 12.0 and earlier, 12.5(1) and 12.5(2)
Unified Communications Manager (Unified CM) versions 11.5, 12.5(1), and 14. (same for Unified CM SME)
Unified Communications Manager IM & Presence Service (Unified CM IM&P) versions 11.5(1), 12.5(1), and 14.
Unified Contact Center Enterprise (UCCE) versions 12.0 and earlier, 12.5(1), and 12.5(2).
Unified Contact Center Express (UCCX) versions 12.0 and earlier and 12.5(1).
Unity Connection versions 11.5(1), 12.5(1), and 14.
Virtualized Voice Browser (VVB) versions 12.0 and earlier, 12.5(1), and 12.5(2).
Cisco, geçici bir çözüm olmadığını ve mevcut güvenlik güncellemelerini uygulamak olduğunu belirtiyor.
PCCE: 12.5(1) and 12.5(2) apply patch ucos.v1_java_deserial-CSCwd64245.cop.sgn.
Unified CM and Unified CME: 12.5(1)SU8 or ciscocm.v1_java_deserial-CSCwd64245.cop.sha512. 14SU3 or ciscocm.v1_java_deserial-CSCwd64245.cop.sha512.
Unified CM IM&P: 12.5(1)SU8 or ciscocm.cup-CSCwd64276_JavaDeserialization.cop.sha512. 14SU3 or ciscocm.cup-CSCwd64276_JavaDeserialization.cop.sha512.
UCCE: Apply patch ucos.v1_java_deserial-CSCwd64245.cop.sgn for 12.5(1) and 12.5(2).
UCCX: Apply patch ucos.v1_java_deserial-CSCwd64245.cop.sgn for 12.5(1).
VVB: Apply patch ucos.v1_java_deserial-CSCwd64245.cop.sgn for 12.5(1) and 12.5(2).
Cisco, güncellemeleri uygulamanın hemen mümkün olmadığı durumlara ACL’ler) oluşturmalarını tavsiye etti. Ve ekledi güncellemeleri zaman kaybetmeden yükleyin.!