Sicherheitslücke in Cisco Unified Communications-Produkten erfordert dringende Aktualisierung

Der Netzwerkausrüster Cisco hat eine Sicherheitslücke in seinen Unified Communications-Produkten entdeckt und empfiehlt dringend, dass Administratorinnen und Administratoren diese schnellstmöglich aktualisieren. Die Schwachstelle ermöglicht es Angreifern, höchste Zugriffsrechte im Betriebssystem gefährdeter Geräte zu erlangen und so die vollständige Kontrolle über diese zu übernehmen.

Laut einer Sicherheitsmitteilung von Cisco besteht die Möglichkeit, dass Angreifer in mehreren Cisco Unified Communications-Produkten und Contact Center Solutions-Programmen aus dem Netz heraus beliebigen Code einschleusen und ausführen können, ohne sich zuvor anzumelden. Dies wird durch eine fehlerhafte Verarbeitung von Nutzerdaten verursacht, die in den Speicher eingelesen werden. Angreifer können dies erreichen, indem sie sorgfältig vorbereitete Nachrichten an einen Port des Geräts senden, auf dem es aktiv zuhört.

Sobald die Schwachstellen erfolgreich ausgenutzt wurden, haben Angreifer die Möglichkeit, beliebige Befehle im unterliegenden Betriebssystem mit den Rechten des Web-Dienstes auszuführen. Dadurch können sie coderoot-Rechte auf verwundbaren Geräten erlangen und die volle Kontrolle übernehmen. Die Sicherheitslücke wird als CVE-2024-20253 klassifiziert und hat eine CVSS-Bewertung von 9.9, was als kritisches Risiko eingestuft wird.

Um die Sicherheitslücke zu schließen, stellt Cisco aktualisierte Software für betroffene Kunden zur Verfügung. Kunden mit Service-Verträgen können die Software von der Support- und Download-Seite von Cisco herunterladen. In der Sicherheitsmitteilung sind eine Auflistung der betroffenen Produkte und Software-Versionen sowie Informationen zu verwundbaren und nicht verwundbaren Konfigurationen enthalten.

Die Schwachstelle betrifft in der Standardkonfiguration unter anderem die Produkte Packaged Contact Center Enterprise (PCCE), Unified Communications Manager (Unified CM), Unified Communications Manager IM & Presence Service (Unified CM IM&P), Unified Communications Manager Session Management Edition (Unified CM SME), Unified Contact Center Enterprise (UCCE), Unified Contact Center Express (UCCX) und Unity ion Virtualized Voice Browser (VVB).

Um das Problem zu beheben, sind die spezifischen Softwareversionen 12.5(1)SU8 und 14SU3 für Unified CM und Unified CM SME, Unified CM IM&P und Unity ion erforderlich. Der 15er-Zweig bleibt unbeeinflusst. Kunden, die noch auf Version 11.5 setzen, müssen auf eine unterstützte Version umsteigen. Benutzer von PCCE, UCCE, UCCX und VVB, die Version 12.0 oder älter verwenden, müssen ebenfalls auf eine unterstützte Version umsteigen.

Das Release ucos.v1_java_deserial-CSCwd64245.cop.sgn steht für alle Versionen 12.5(1) zur Verfügung. Die Version 15 ist auch in diesem Fall nicht von der Sicherheitslücke betroffen.

Es ist anzumerken, dass Cisco erst vor zwei Wochen Schwachstellen in Cisco Unity ion beheben musste, durch die Angreifer auf ungepatchten Systemen coderoot/code-Rechte erlangen konnten.

Es ist von größter Bedeutung, dass Unternehmen und Organisationen, die Cisco Unified Communications-Produkte einsetzen, die Sicherheitsmitteilung von Cisco sorgfältig prüfen und die empfohlenen Maßnahmen zur Aktualisierung ihrer Systeme umsetzen, um sich vor potenziellen Angriffen zu schützen.

Schlagwörter: Cisco Unified + Unified CM IM + PCCE

Wie bewerten Sie den Schreibstil des Artikels?