思科最近发布了一个新的安全补丁,解决了影响统一通信和联络中心解决方案产品的关键安全漏洞,该漏洞可能允许未经身份验证的远程威胁参与者在受影响的设备上执行任意**。
该安全漏洞被跟踪为 CVE-2024-20253(CVSS 评分:9。9)、Synacktiv 安全研究员 Julien Egloff 发现并报告了该问题。据悉,该漏洞主要源于对用户提供的数据处理不当,威胁攻击者可滥用这些数据向受影响设备的监听端口发送特制消息。
思科在一份公告中表示,一旦威胁行为者成功利用 CVE-2024-20253 安全漏洞,它就可以使用网络服务用户的权限在底层操作系统上执行任意命令,并且通过访问底层操作系统,威胁行为者还可以在受影响的设备上建立根访问权限。 受此漏洞影响的产品包括:
Unified Communications Manager(版本) 5(1)和14)。值得一提的是,目前还没有具体的方法来解决CVE-2024-20253安全漏洞,但网络设备制造商思科敦促用户尽快设置访问控制列表,以最大限度地访问那些无法立即应用安全更新的人。Unified Communications Manager 即时消息和考勤服务(版本。 5(1)和14)。
Unified Communications Manager 会话管理版(版本。 5(1)和14)。
统一联络中心快递 (12.)0 及更早版本和 125(1)版本)。
Unified Connect(版本。 5(1)和14)和。
虚拟语音浏览器 (12.)0 及更早版本,12第5(1)条和第12条5(2)版)。
此外,思科表示,用户还可以在思科统一通信或思科联络中心解决方案集群中的中间设备上建立访问控制列表(ACL),这些设备与用户和网络的其他部分隔离,只允许访问已部署服务的端口。
思科最近暴露了许多安全漏洞,就在几周前,思科发布了一个影响Unity Connection的重大安全漏洞(CVE-2024-20272,CVSS评分:7。3) 安全更新修复。