Cisco Warns Of A Critical Bug In Unified Communications Products, Patch It Now!
2024/01/25 SecurityAffairs — Cisco がリリースしたパッチは、複数の Unified Communications/Contact Center Solutions 製品に存在する、深刻な脆弱性 CVE-2024-20253 (CVSS:9.9) に対するものである。この脆弱性の悪用に成功した、認証されていないリモートの攻撃者は、影響を受けるデバイス上で任意のコードを実行できるという。
この問題の根本的な原因は、メモリに読み込まれるユーザー提供データに対する不適切な処理である。パッチを適用していないデバイスのリスニング・ポートへ向けて、細工したメッセージを送信する攻撃者により、この欠陥が悪用される可能性がある。
Cisco は、「この脆弱性は、メモリに読み込まれるユーザー・データに対する不適切な処理に起因する。攻撃者は、影響を受けるデバイスのリスニングポートに対して、細工したメッセージを送信して、この脆弱性を悪用できる。悪用に成功した攻撃者は、Web サービス・ユーザーの権限で、基盤となるオペレーティング・システム上で任意のコマンドを実行できるようになる。その結果として、影響を受けるデバイス上で、攻撃者によるルート・アクセスが確立されることになる」と述べている。
この脆弱性は、以下の製品のデフォルト設定に影響を及ぼす:
- Unified Communications Manager (Unified CM) (CSCwd64245)
- Unified Communications Manager IM & Presence Service (Unified CM IM&P) (CSCwd64276)
- Unified Communications Manager Session Management Edition (Unified CM SME) (CSCwd64245)
- Unified Contact Center Express (UCCX) (CSCwe18773)
- Unity Connection (CSCwd64292)
- Virtualized Voice Browser (VVB) (CSCwe18840)
現時点において、回避策は存在しない。ただし、Cisco Unified Communications/Cisco Contact Center Solutions のクラスタ/ユーザー/ネットワークを分離する ACL (access control lists) を設定し、導入したサービスのポートへのアクセスのみを許可することで、脆弱性を緩和できるようだ。
なお、Cisco PSIRT は、この欠陥を悪用した攻撃については認識していない。
この脆弱性は、Synacktiv の Julien Egloff により報告された。
Cisco Unified Communications の脆弱性としては、2023/08/17 に「Cisco Unified CM の深刻な脆弱性 CVE-2023-20211 などが FIX:直ちにパッチ適用を!」という記事がポストされています。よろしければ、Cisco で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.