Falha Crítica na Cisco Permite que Hackers Tomem Controle Remotamente dos Sistemas de Comunicação Unificada
26 de Janeiro de 2024

A Cisco lançou patches para corrigir uma falha de segurança crítica que afeta os produtos Unified Communications e Contact Center Solutions, que poderia permitir a um invasor remoto e não autenticado executar código arbitrário em um dispositivo afetado.

Esta falha, rastreada como CVE-2024-20253 (pontuação CVSS: 9,9), surge a partir do processamento inadequado de dados fornecidos pelo usuário que um ator de ameaça poderia abusar para enviar uma mensagem especialmente criada para uma porta de ouvido de um aparelho suscetível.

"Um exploit bem-sucedido poderia permitir ao invasor executar comandos arbitrários no sistema operacional subjacente com os privilégios do usuário dos web services", disse a Cisco em um comunicado.

"Com acesso ao sistema operacional subjacente, o invasor também poderia estabelecer acesso root no dispositivo afetado."

O pesquisador de segurança Synacktiv, Julien Egloff, foi creditado por descobrir e relatar o CVE-2024-20253.

Os seguintes produtos são impactados pela falha -

Unified Communications Manager (versões 11.5, 12.5(1) e 14)
Unified Communications Manager IM & Presence Service (versões 11.5(1), 12.5(1) e 14)
Unified Communications Manager Session Management Edition (versões 11.5, 12.5(1) e 14)
Unified Contact Center Express (versões 12.0 e anteriores e 12.5(1))
Unity Connection (versões 11.5(1), 12.5(1) e 14)
Virtualized Voice Browser (versões 12.0 e anteriores, 12.5(1) e 12.5(2))

Embora não existam soluções alternativas que resolvam a falha, o fabricante de equipamentos de rede está orientando os usuários a configurar listas de controle de acesso para limitar o acesso onde a aplicação das atualizações não é imediatamente possível.

"Estabeleça listas de controle de acesso (ACLs) em dispositivos intermediários que separam o cluster de soluções Cisco Unified Communications ou Cisco Contact Center dos usuários e o restante da rede para permitir acesso apenas às portas dos serviços implantados", disse a empresa.

A divulgação chega semanas após a Cisco ter liberado correções para uma falha de segurança crítica que afeta a conexão Unity (CVE-2024-20272, pontuação CVSS: 7.3) que poderia permitir a um adversário executar comandos arbitrários no sistema subjacente.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...