Cisco ha lanzado parches para abordar una falla de seguridad crítica que afecta los productos de soluciones de centros de contacto y comunicaciones unificadas y que podría permitir que un atacante remoto no autenticado ejecute código arbitrario en un dispositivo afectado.
Seguimiento como CVE-2024-20253 (Puntuación CVSS: 9,9), el problema surge del procesamiento inadecuado de los datos proporcionados por el usuario que un actor de amenazas podría abusar para enviar un mensaje especialmente diseñado a un puerto de escucha de un dispositivo susceptible.
«Un exploit exitoso podría permitir al atacante ejecutar comandos arbitrarios en el sistema operativo subyacente con los privilegios del usuario de servicios web», Cisco dicho en un aviso. «Con acceso al sistema operativo subyacente, el atacante también podría establecer acceso root en el dispositivo afectado».
Al investigador de seguridad de Synacktiv, Julien Egloff, se le atribuye el descubrimiento y el informe de CVE-2024-20253. Los siguientes productos se ven afectados por la falla:
- Administrador de Comunicaciones Unificadas (versiones 11.5, 12.5(1) y 14)
- Servicio de presencia y mensajería instantánea de Unified Communications Manager (versiones 11.5(1), 12.5(1) y 14)
- Edición de gestión de sesiones de Unified Communications Manager (versiones 11.5, 12.5(1) y 14)
- Unified Contact Center Express (versiones 12.0 y anteriores y 12.5(1))
- Unity Connection (versiones 11.5(1), 12.5(1) y 14), y
- Navegador de voz virtualizado (versiones 12.0 y anteriores, 12.5(1) y 12.5(2))
Si bien no existen soluciones alternativas para abordar la deficiencia, el fabricante de equipos de red insta a los usuarios a configurar listas de control de acceso para limitar el acceso donde no es posible aplicar las actualizaciones de inmediato.
«Establezca listas de control de acceso (ACL) en dispositivos intermediarios que separan el clúster de Comunicaciones Unificadas de Cisco o Soluciones de Centro de Contacto de Cisco de los usuarios y el resto de la red para permitir el acceso sólo a los puertos de los servicios implementados», dijo la compañía.
La divulgación llega semanas después de que Cisco enviara correcciones para una falla de seguridad crítica que afectaba a Unity Connection (CVE-2024-20272puntuación CVSS: 7,3) que podría permitir a un adversario ejecutar comandos arbitrarios en el sistema subyacente.