Cisco đang cảnh báo rằng một số sản phẩm Contact Center Solutions và Unified Communications Manager (CM) của họ dễ bị tấn công bởi một lỗ hổng thực thi mã từ xa nghiêm trọng.
Contact Center Solutions và Unified Communications Manager của Cisco là các giải pháp tích hợp cung cấp dịch vụ thoại, video và nhắn tin cũng như tương tác và quản lý khách hàng dành cho doanh nghiệp.
Công ty đã phát hành một bản tin bảo mật để cảnh báo về CVE-2024-20253, lỗ hổng có thể cho phép kẻ tấn công không cần xác thực thực thi mã tùy ý trên thiết bị bị ảnh hưởng.
Lỗ hổng nghiệm trọng (CVSS 9,9), được nhà nghiên cứu Julien Egloff của Synacktiv phát hiện, phát sinh do việc xử lý dữ liệu được gửi từ người dùng không đúng cách.
Những kẻ tấn công có thể khai thác nó bằng cách gửi một tin độc hại đến một cổng đang mở (listening port), có khả năng dẫn đến việc thực thi các lệnh tùy ý với đặc quyền của người dùng dịch vụ web và thiết lập quyền truy cập root.
Nhà cung cấp không đưa ra thêm cách giải quyết nào khác ngoài việc áp dụng các bản cập nhật bảo mật hiện có.
Trong trường hợp không thể áp dụng các bản cập nhật ngay lập tức, Cisco khuyến nghị các quản trị viên nên thiết lập danh sách kiểm soát truy cập (ACL) như một biện pháp giảm thiểu rủi ro.
Cụ thể, người dùng nên triển khai ACL trên các thiết bị trung gian để tách biệt cụm Unified Communications và Contact Center Solutions của Cisco khỏi người dùng và phần còn lại của mạng.
ACL phải được cấu hình để chỉ cho phép truy cập vào các cổng của dịch vụ đã triển khai, kiểm soát hiệu quả lưu lượng truy cập có thể tiếp cận các thành phần bị ảnh hưởng.
Trước khi triển khai bất kỳ biện pháp giảm thiểu nào, quản trị viên nên đánh giá khả năng áp dụng và tác động tiềm tàng của chúng đối với môi trường, đồng thời thử nghiệm chúng trong một không gian được kiểm soát để đảm bảo hoạt động kinh doanh không bị ảnh hưởng.
Công ty cho biết thêm rằng họ không nhận được thông tin nào về việc lạm dụng, khai thác lỗ hổng trong thực tế.
Danh sách các sản phẩm Cisco bị ảnh hưởng theo cấu hình mặc định gồm có:
- Packaged Contact Center Enterprise (PCCE), Unified Contact Center Enterprise (UCCE) và Virtualized Voice Browser (VVB) các phiên bản <= 12.0, 12.5(1) và 12.5(2)
- Unified CM và Unified CM SME phiên bản 11.5, 12.5(1), và 14.
- Unified Communications Manager IM & Presence Service (Unified CM IM&P) phiên bản 11.5(1), 12.5(1), và 14.
- Unified Contact Center Express (UCCX) các phiên bản <= 12.0 và 12.5(1).
- Unity Connection phiên bản 11.5(1), 12.5(1), và 14.
Lỗ hổng hiện đã được giải quyết trong các bản phát hành sau:
- PCCE: 12.5(1) và 12.5(2) apply patch ucos.v1_java_deserial-CSCwd64245.cop.sgn.
- Unified CM và Unified CME: 12.5(1)SU8, ciscocm.v1_java_deserial-CSCwd64245.cop.sha512. 14SU3 hoặc ciscocm.v1_java_deserial-CSCwd64245.cop.sha512.
- Unified CM IM&P: 12.5(1)SU8, ciscocm.cup-CSCwd64276_JavaDeserialization.cop.sha512. 14SU3 hoặc ciscocm.cup-CSCwd64276_JavaDeserialization.cop.sha512.
- UCCE: Apply patch ucos.v1_java_deserial-CSCwd64245.cop.sgn cho phiên bản 12.5(1) và 12.5(2).
- UCCX: Apply patch ucos.v1_java_deserial-CSCwd64245.cop.sgn cho phiên bản 12.5(1).
- VVB: Apply patch ucos.v1_java_deserial-CSCwd64245.cop.sgn cho phiên bản 12.5(1) và 12.5(2).
Nguồn: bleepingcomputer.com.
Tín nhiệm mạng | Những người duy trì phần mềm tự động hóa quá trình tích hợp và triển khai liên tục mã nguồn mở Jenkins đã giải quyết 9 lỗ hổng bảo mật, bao gồm một lỗi nghiêm trọng có thể bị khai thác để RCE.
Tín nhiệm mạng | Vào ngày đầu tiên của cuộc thi Pwn2Own Automotive 2024, các nhà nghiên cứu bảo mật đã hack thành công một Tesla Modem và thu về tổng số tiền thưởng trị giá 722.500 USD cho 3 lần khai thác trùng lặp và 24 lần khai thác zero-day khác nhau.
Tín nhiệm mạng | Hơn 5.300 máy chủ GitLab tiếp xúc với internet có nguy cơ bị khai thác CVE-2023-7028, một lỗ hổng cho phép chiếm đoạt tài khoản không yêu cầu bất kỳ tương tác của người dùng mà GitLab đã cảnh báo vào đầu tháng này.
Tín nhiệm mạng | Hai package độc hại trên hệ thống quản lý package NPM được phát hiện đã lợi dụng GitHub để lưu trữ các khóa SSH được mã hóa Base64 bị đánh cắp từ hệ thống của các nhà phát triển.
Tín nhiệm mạng | Thứ Hai vừa qua, Ủy ban Chứng khoán và giao dịch của Mỹ đã xác nhận rằng tài khoản X của họ đã bị hack thông qua một cuộc tấn công hoán đổi SIM vào số điện thoại di động được liên kết với tài khoản.
Tín nhiệm mạng | Hôm qua, Apple đã phát hành bản cập nhật bảo mật cho trình duyệt web iOS, iPadOS, macOS, tvOS và Safari để giải quyết lỗ hổng zero-day đang bị khai thác trong thực tế.