Cisco says critical Unity Connection bug lets attackers get root
2024/01/10 BleepingComputer — Cisco は、Unity Connection に存在する深刻なセキュリティ欠陥にパッチを適用した。この脆弱性の悪用に成功した未認証の攻撃者は、パッチが適用されていないデバイスの root 権限を、リモートから取得できるようになる。Unity Connection は、電子メール・ボックス/Web ブラウザ/Cisco Jabber/Cisco Unified IP Phone/スマートフォン/タブレット向けの、完全に仮想化されたメッセージング/ボイスメールのソリューションであり、高可用性と冗長性をサポートするものだ。
この脆弱性 CVE-2024-20272 は、Unity Connection の Web_based 管理インターフェイスに存在するものである。標的となる脆弱なシステムに任意のファイルをアップロードする攻撃者は、基盤となるオペレーティング・システム上でコマンドを実行できる。
Cisco は、「この脆弱性は、特定の API における認証の欠如と、ユーザーが提供するデータの不適切な検証に起因するものだ。攻撃者は、影響を受けるシステムに対して、任意のファイルをアップロードすることで、この脆弱性を悪用できる」と説明している。
悪用に成功した攻撃者に許されることは、システム上への悪意のファイルの保存/オペレーティング・システム上での任意のコマンド実行/root 権限への昇格などである。
幸いなことに、Cisco の Product Security Incident Response Team (PSIRT) によると、この脆弱性に対するコンセプトの悪用が、パブリックな証明された形跡はなく、また、実際に悪用された形跡もないという。
| Cisco Unity Connection Release | First Fixed Release |
|---|---|
| 12.5 and earlier | 12.5.1.19017-4 |
| 14 | 14.0.1.14006-5 |
| 15 | Not vulnerable |
PoC を悪用したコマンド・インジェクションの不具合
今日になって Cisco は、複数の製品に存在する Medium レベルの脆弱性 10件に対してもパッチを適用し、特権昇格/XSS/コマンド・インジェクションなどに対処した。
一連の脆弱性のうち、Cisco WAP371 Wireless Access Point.Cisco の Web_based 管理インターフェイスに存在する、コマンド・インジェクションの脆弱性 CVE-2024-20287 については、PoC エクスプロイト・コードがオンラインで入手可能だという。
このバグを悪用する攻撃者は、パッチが適用されていないデバイス上で、root 権限による任意のコマンド実行を可能にするが、悪用に成功するためには管理者認証情報も必要となるという。
Cisco WAP371 デバイスは、2019年6月に製造終了に達しており、脆弱性 CVE-2024-20287 を修正するファームウェア・アップデートはリリースしないと、同社は述べている。さらに、WAP371 デバイスを使用している顧客に対しては、Cisco Business 240AC Access Point に移行するようアドバイスしている。
2023年10月にも Cisco は、5万台以上の IOS XE デバイスを、1週間でハッキングするために悪用された、2つのゼロデイ脆弱性 CVE-2023-20198/CVE-2023-20273 にパッチを適用している。
Cisco Unity Connection の Web_based 管理インターフェイスに存在する、脆弱性 CVE-2024-20272 が FIX とのことです。お隣のキュレーション・チームに聞いてみたら、Cisco 製品の Web_based 管理インターフェイスでは、脆弱性が頻繁に発生するそうです。ちょっと、気になりますね。よろしければ、Cisco で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.