Cisco ha advertido de que varios de sus productos Unified Communications Manager (CM) y Contact Center Solutions son vulnerables a un problema de seguridad crítico de ejecución remota de código.
Las Soluciones de Comunicaciones Unificadas y Contact Center de Cisco son soluciones integradas que proporcionan servicios de voz, vídeo y mensajería a nivel empresarial, así como de captación y gestión de clientes.
La compañía ha emitido un boletín de seguridad para advertir de la vulnerabilidad, actualmente rastreada como CVE-2024-20253, que podría permitir a un atacante remoto no autenticado ejecutar código arbitrario en un dispositivo afectado.
La vulnerabilidad fue descubierta por Julien Egloff, investigador de Synacktiv, y recibió una calificación base de 9,9 sobre un máximo de 10. Está causada por un procesamiento incorrecto de los datos suministrados por el usuario y leídos en memoria.
Los atacantes pueden explotar esto enviando un mensaje especialmente diseñado a un puerto de escucha, lo que les permite ejecutar comandos arbitrarios con privilegios de usuario de servicios web y establecer acceso de root.
CVE-2024-20253 afecta a los siguientes productos Cisco en sus configuraciones por defecto:
- Packaged Contact Center Enterprise (PCCE) versiones 12.0 y anteriores, 12.5(1) y 12.5(2)
- Unified Communications Manager (Unified CM) versiones 11.5, 12.5(1) y 14 (igual que Unified CM SME)
- Unified Communications Manager IM & Presence Service (Unified CM IM&P) versiones 11.5(1), 12.5(1) y 14.
- Unified Contact Center Enterprise (UCCE) versiones 12.0 y anteriores, 12.5(1) y 12.5(2).
- Unified Contact Center Express (UCCX) versiones 12.0 y anteriores y 12.5(1).
- Unity Connection versiones 11.5(1), 12.5(1) y 14.
- Virtualized Voice Browser (VVB) versiones 12.0 y anteriores, 12.5(1) y 12.5(2).
El proveedor afirma que no existe ninguna solución y que la acción recomendada es aplicar las actualizaciones de seguridad disponibles. Las siguientes versiones corrigen el fallo crítico de ejecución remota de código (RCE):
- CHP: 12.5(1) y 12.5(2) aplican el parche ucos.v1_java_deserial-CSCwd64245.cop.sgn.
- Unified CM y Unified CME: 12.5(1)SU8 o ciscocm.v1_java_deserial-CSCwd64245.cop.sha512. 14SU3 o ciscocm.v1_java_deserial-CSCwd64245.cop.sha512.
- Unified CM IM&P: 12.5(1)SU8 o ciscocm.cup-CSCwd64276_JavaDeserialization.cop.sha512. 14SU3 o ciscocm.cup-CSCwd64276_JavaDeserialization.cop.sha512.
- UCCE: Aplique el parche ucos.v1_java_deserialial-CSCwd64245.cop.sgn para 12.5(1) y 12.5(2).
- UCCX : Aplique el parche ucos.v1_java_deserial-CSCwd64245.cop.sgn para 12.5(1).
- VVB : Aplique el parche ucos.v1_java_deserial-CSCwd64245.cop.sgn para 12.5(1) y 12.5(2).
Cisco aconseja a los administradores que implementen listas de control de acceso (ACL) como estrategia de mitigación para situaciones en las que la aplicación de actualizaciones no sea posible de forma inmediata.
En concreto, se recomienda que los usuarios implementen ACL en los dispositivos intermedios que separan el clúster de Cisco Unified Communications o Cisco Contact Center Solutions de los usuarios y del resto de la red.
Las listas de control de acceso deben configurarse para permitir el acceso sólo a los puertos de los servicios desplegados, controlando de forma efectiva el tráfico que puede llegar a los componentes relevantes.
Antes de desplegar medidas de mitigación, los administradores deben evaluar su aplicabilidad y su impacto potencial en el entorno, y probarlas en un espacio controlado para garantizar que las operaciones de negocio no se vean afectadas.
La empresa afirma que no tiene conocimiento de ningún anuncio público o uso malintencionado de la vulnerabilidad.