Cisco ha lanzado parches para abordar una vulnerabilidad crítica que afecta a los productos de soluciones de centros de contacto y comunicaciones unificadas, la cual podría permitir que un atacante remoto no autenticado ejecute código arbitrario en un dispositivo afectado.
Identificada como CVE-2024-20253 (puntuación CVSS: 9,9), el problema surge debido al procesamiento inadecuado de datos proporcionados por el usuario, que un actor de amenazas podría aprovechar para enviar un mensaje especialmente diseñado a un puerto de escucha de un dispositivo vulnerable.
“Un exploit exitoso podría permitir al atacante ejecutar comandos arbitrarios en el sistema operativo subyacente con los privilegios del usuario de servicios web”, informó Cisco en un aviso. “Con acceso al sistema operativo subyacente, el atacante también podría establecer acceso root en el dispositivo afectado”.
El descubrimiento y el informe de CVE-2024-20253 son atribuidos al investigador de seguridad de Synacktiv, Julien Egloff. La falla afecta a los siguientes productos:
- Administrador de Comunicaciones Unificadas (versiones 11.5, 12.5(1) y 14)
- Servicio de presencia y mensajería instantánea de Unified Communications Manager (versiones 11.5(1), 12.5(1) y 14)
- Edición de gestión de sesiones de Unified Communications Manager (versiones 11.5, 12.5(1) y 14)
- Unified Contact Center Express (versiones 12.0 y anteriores, y 12.5(1))
- Unity Connection (versiones 11.5(1), 12.5(1) y 14)
- Navegador de voz virtualizado (versiones 12.0 y anteriores, 12.5(1) y 12.5(2))
Aunque no hay soluciones alternativas disponibles para abordar esta deficiencia, el fabricante de equipos de red insta a los usuarios a configurar listas de control de acceso para limitar el acceso en aquellos casos en que no sea posible aplicar las actualizaciones de inmediato.
La compañía aconseja: ‘Establezca listas de control de acceso (ACL) en dispositivos intermedios que separen el clúster de Comunicaciones Unificadas de Cisco o las Soluciones de Centro de Contacto de Cisco de los usuarios y el resto de la red, permitiendo el acceso solo a los puertos de los servicios implementados’.
Esta revelación surge algunas semanas después de que Cisco enviara correcciones para una vulnerabilidad crítica en Unity Connection (CVE-2024-20272, puntuación CVSS: 7,3), la cual podría permitir a un adversario ejecutar comandos arbitrarios en el sistema subyacente.