Cisco ha recentemente rilasciato patch per correggere una vulnerabilità critica della sicurezza che colpisce i prodotti Unified Communications e Contact Center Solutions, presentando un potenziale rischio di arbitrarietà l'esecuzione di codice da un non autenticato, attaccante remoto.
Dettagli sulla vulnerabilità (CVE-2024-20253)
Il difetto, tracciato come CVE-2024-20253 con un punteggio CVSS di 9.9, deriva da un trattamento improprio dei dati forniti dall'utente, consentendo agli autori delle minacce di inviare messaggi appositamente predisposti ad apparecchi vulnerabili’ porte di ascolto.
Il ricercatore di sicurezza Julien Egloff di Synacktiv è stato accreditato di aver scoperto e segnalato la vulnerabilità, sottolineando gli sforzi di collaborazione per migliorare la sicurezza del prodotto.
Prodotti interessati
I prodotti interessati includono Unified Communications Manager, Gestione delle comunicazioni unificate IM & Servizio di presenza, Edizione per la gestione delle sessioni di Unified Communications Manager, Contact Center unificato espresso, Connessione unitaria, e browser vocale virtualizzato.
Un exploit riuscito potrebbe fornire all'aggressore l'esecuzione arbitraria di comandi sul sistema operativo sottostante, sfruttando i privilegi dell’utente dei servizi web. Ciò potrebbe potenzialmente portare a ottenere l'accesso root sul dispositivo interessato.
Misure di mitigazione
Mentre non ci sono soluzioni immediate, Cisco consiglia agli utenti di applicare tempestivamente le patch fornite. Inoltre, l'azienda suggerisce di implementare elenchi di controllo degli accessi (ACL) per limitare l'accesso in scenari in cui gli aggiornamenti immediati non sono fattibili.
Questa divulgazione fa seguito ai recenti sforzi di Cisco per risolvere un difetto critico di sicurezza in Unity Connection (CVE-2024-20272), evidenziando l’impegno costante nel proteggere i propri prodotti da potenziali vulnerabilità.
Emettendo queste patch e sottolineando le misure di sicurezza proattive, Cisco mira a rafforzare la resilienza delle sue soluzioni di Unified Communications e Contact Center, garantire una solida difesa contro l’evoluzione delle minacce alla sicurezza informatica.