吳明宜思科本周更新修補重大漏洞CVE-2024-20253,該漏洞影響多項統合通訊及客服中心產品,允許遠端攻擊者執行任意程式碼。
思科 (Cisco) 本周釋出更新,修補一個影響統合通訊 (Unified Communications, UC) 及客服中心解決方案 (Contact Center Solutions) 產品中,讓未經授權的遠端攻擊者在系統上執行任意程式碼的重大漏洞。
編號 CVE-2024-20253(CVSS 評分: 9.9)的漏洞源自軟體對使用者輸入資訊處理不當,攻擊者可以傳送惡意訊息到未補漏洞的裝置上的輸入通訊埠,加以濫用。成功的攻擊允許攻擊者在受害裝置作業系統上,以用戶權限執行任意指令。而由此,攻擊者也能取得受害裝置的根權限。
本漏洞是由安全廠商 Synacktiv 研究人員 Julien Egloff 發現並通報。受影響的產品包括:
- Unified Communications Manager (11.5, 12.5(1) 及 14)
- Unified Communications Manager IM & Presence Servivce (11.5 (1), 12.5(1), 14)
- Unified Communications Manager Session Management 版 (versions 11.5, 12.5(1) 及 14)
- Unified Contact Center Express ( 12.0 and earlier and 12.5(1))
- Unity Connection ( 11.5(1), 12.5(1) 及 14)
- Virtualized Voice Browser (12.0 及以前, 12.5(1), and 12.5(2))
本漏洞沒有暫時緩解的方法,但若用戶未能立即安裝更新,思科呼籲用戶應設定存取控制表 (access control list, ACL) 限制內外部連線,應僅能存取到已部署服務的通訊埠。
二周前思科才修補另一個影響 Unity Connection,讓攻擊者在底層作業系統上執行任意指令碼的重大漏洞 (CVE-2024-20272, CVSS 評分: 7.3) 。