The Hacker News 網站消息,思科近期發布了一個新安全補丁,解決了影響統一通信和聯絡中心解決方案產品的關鍵安全漏洞,該漏洞可能允許未經認證的遠程威脅攻擊者在受影響的設備上執行任意代碼。



安全漏洞被跟蹤為 CVE-2024-20253(CVSS 得分:9.9),Synacktiv 安全研究員 Julien Egloff 發現并報告這一問題。據悉,漏洞主要源于對用戶提供的數據不當處理,威脅攻擊者能夠濫用這些數據向受影響設備的監聽端口發送特制信息。


思科在一份公告中表示,一旦威脅攻擊者成功利用 CVE-2024-20253 安全漏洞,便可以使用網絡服務用戶的權限在底層操作系統上執行任意命令,通過訪問底層操作系統,威脅攻擊者還可以在受影響的設備上建立 root 訪問權限。受該漏洞影響的產品包括:


統一通信管理器(版本 11.5、12.5(1) 和 14)
統一通信管理器即時消息和出席服務(版本 11.5(1)、12.5(1) 和 14)
統一通信管理器會話管理版(版本 11.5、12.5(1) 和 14)
統一聯絡中心快車(12.0 及更早版本和 12.5(1) 版本)
統一連接(版本 11.5(1)、12.5(1) 和 14),以及
虛擬語音瀏覽器(12.0 及更早版本、12.5(1) 和 12.5(2) 版)


值得一提的是,目前尚沒有解決 CVE-2024-20253 安全漏洞的具體方法,但網絡設備制造商思科方面敦促用戶盡快設置訪問控制列表,以最大程度上限制無法立即應用安全更新的訪問。


此外,思科方面還表示,用戶也可以在思科統一通信或思科聯絡中心解決方案集群與用戶和網絡其他部分隔離開的中間設備上建立訪問控制列表(ACL),只允許訪問已部署服務的端口。


思科近期屢屢曝出安全漏洞問題,幾周前,思科才發布了針對影響 Unity Connection 的重大安全漏洞(CVE-2024-20272,CVSS 得分:7.3)的安全更新修復程序。


參考文章:


https://thehackernews.com/2024/01/critical-cisco-flaw-lets-hackers.html


思科 安全漏洞
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接