Cisco の Unified CCMP/CCDM の深刻な脆弱性 CVE-2022-20658 が FIX

Cisco Releases Patch for Critical Bug Affecting Unified CCMP and Unified CCDM

2022/01/13 TheHackerNews — Cisco の Unified Contact Center Management Portal (Unified CCMP) および Unified Contact Center Domain Manager (Unified CCDM) に脆弱性があり、この脆弱性を悪用するリモートの攻撃者が、システムを制御する可能性があることが判明した。この脆弱性 CVE-2022-20658 は、CVSS 深刻度 9.6 と評価され、サーバー側でのユーザー権限の検証が行われていないことに起因する、特権昇格の問題を引き起こす可能性がある。

今週に公開された Cisco のアドバイザリには、「攻撃者は、これらのアカウントを使用して、脆弱な Cisco Unified CCMP に関連付けられている、すべてのユニファイド・プラットフォームのテレフォニーおよびユーザー・リソースにアクセスし、変更することが可能である。この脆弱性をうまく利用するためには、攻撃者は有効なアドバンスド・ユーザーの認証情報が必要である」と記されている。


ネットワーク機器メーカーの Cisco は、デフォルト設定で動作している Unified CCMP/Unified CCDM の、バージョン12.5.1/12.0.1/11.6.1 および、それ以前の製品が影響を受けるとしているが、バージョン 12.6.1 は影響を受けないとも述べている。また、Cisco は、Technical Assistance Center (TAC) によるサポート・ケースの一部として、この問題を発見したと述べている。

このセキュリティ上の欠陥が、実際の攻撃に悪用されたという証拠はないが、欠陥に関連するリスクを軽減するために、最新のバージョンにアップグレードすることが推奨されている。

Cisco に深刻な脆弱性がでると、ちょっとドキッとしますね。最近だと、2021年11月の「Apache HTTP Server の脆弱性 CVE-2021-40438:悪用の実績と Cisco 製品群への影響」や、11月の「Cisco が深刻な脆弱性を FIX:認証情報ハードコードと SSH key の再利用」などがあります。よろしければ、Cisco で検索も、ご利用ください。

%d bloggers like this: