Разработчики Cisco выпустили патчи для устранения критической уязвимости в Unity Connection. Проблема получила идентификатор CVE-2024-20272 (7,3 балла по шкале CVSS) и может использоваться удаленно, без аутентификации, для загрузки произвольных файлов, выполнения команд и повышения привилегий до уровня root.
Unity Connection представляет собой виртуализированное решение для обмена текстовыми и голосовыми сообщениями для почты, браузеров, Cisco Jabber, Cisco Unified IP Phone, смартфонов и планшетов.
«Уязвимость связана с отсутствием аутентификации в определенном API и недостаточной проверкой данных, предоставляемых пользователем. Злоумышленник может эксплуатировать эту проблему, загружая произвольные файлы в уязвимую систему, — поясняют в Cisco. — Успешная эксплуатация может позволить атакующему хранить вредоносные файлы в системе, выполнять произвольные команды на уровне ОС и повышать привилегии до root».
Подчеркивается, что специалисты Cisco не обнаружили публично доступных эксплоитов для этой проблемы, а также признаков того, что ее уже использовали хакеры.
Уязвимость затрагивает следующие версии Cisco Unity Connection (версия 15 не является уязвимой):
- 12.5 и более ранние версии (исправлено в версии 12.5.1.19017-4);
- 14 (исправлено в версии 14.0.1.14006-5).
Помимо исправления CVE-2024-20272, Cisco также выпустила обновления для устранения 11 уязвимостей в различных продуктах, включая Identity Services Engine, WAP371 Wireless Access Point, ThousandEyes Enterprise Agent, а также TelePresence Management Suite (TMS).
При этом отмечается, что патчей для проблемы внедрения команд в WAP371 (CVE-2024-20287) можно не ждать, поскольку срок службы этих устройств истек еще в июне 2019 года. Вместо этого клиентам рекомендуется переходить на использование Cisco Business 240AC.
